Parece que, de alguma forma, você conseguiu impedir a enumeração dos grupos builtin
. Essa chamada net user
abre conexões para dois domínios como parte de sua operação:
- Para seu domínio do AD com base no domínio SID.
- Para o domínio BUILTIN com base no amplamente conhecido SID para isso (S-1-5-32).
A maioria das consultas é feita para a primeira conexão, uma é passada pela segunda. Essa passagem transforma $YOURDOMAIN\Domain Users
no princípio amplamente conhecido de BUILTIN\Domain Users
(S-1-5-32-545), que o sistema sabe tratar especial. Quando a conexão ao domínio BUILTIN é rejeitada, toda a chamada falha.
Verifique as permissões do contêiner Builtin
AD na sua árvore de domínio - ele deve ter uma "Authenticated Users:Read"
ACE. Além disso, a enumeração do contêiner Builtin
deve ser permitida - um Authenticated Users:Read
ACE para o nível superior do domínio também deve cuidar disso.