Eu tenho um servidor Windows 2008 R2 (64 bits) que não faz parte de um domínio em que um usuário que faz parte do grupo Administradores começou a receber uma mensagem de acesso negado depois de alterar a senha do usuário. O Windows inicializaria normalmente e mostraria a área de trabalho, mas qualquer tentativa de abrir outra instância do Windows Explorer ou do Painel de Controle ou qualquer outra coisa no diretório c: \ Windows resultava em acesso negado.
Olhando as permissões de "c: \ Windows", parecia que os administradores não tinham direitos. Eu finalmente consegui usar o RunAsTI64 para iniciar um prompt do cmd.exe com as permissões do Trusted Installer. Esta conta em particular foi capaz de lançar novas instâncias do explorer e também executar icacls com êxito para adicionar de volta as permissões de Administrador ao diretório "c: \ windows".
No entanto, mesmo depois que as permissões foram adicionadas novamente e parece que o grupo Administradores deve ter controle total do diretório, continuei recebendo erros de acesso negado, exceto quando estou executando com credenciais de Trusted Installer. Eu já tentei ligar e desligar o UAC. Para mim, parece que isso é algum tipo de bug do Windows. Existe um patch que pode corrigir esse comportamento? (Não sei se o computador estava completamente atualizado com as atualizações do Windows). Há alguma outra configuração de política / segurança de grupo que possa ser aplicada?
Parece que uma correção parcial é apenas para redefinir a senha do usuário de volta para a senha original. Depois disso, o usuário recupera magicamente o acesso a tudo. Isso não resolve o problema de como alterar a senha.