O Problema

Ao adicionar um servidor Windows como fonte de backup no Veeam Backup & Replication, é comum encontrar a seguinte mensagem de erro durante o processo de adição ou rescan do host:

Veeam Backup and Replication
Acesso negado
Failed to connect to share '\\NOME-DO-SERVIDOR\ADMIN$'
Código de erro: 0x80004005
Erro não especificado

Esse erro impede que o Veeam finalize a configuração do job de backup, pois ele depende do acesso ao compartilhamento administrativo ADMIN$ para implantar temporariamente o Veeam Agent na máquina alvo durante o processo de backup.

Por que isso acontece

Esse problema é extremamente comum em máquinas Windows que não fazem parte de um domínio Active Directory — ou seja, estão em modo Workgroup (grupo de trabalho). A causa raiz está em um comportamento de segurança do próprio Windows conhecido como UAC Remote Restriction (Filtro de Token Remoto do UAC).

Por padrão, quando uma conta de administrador local (diferente da conta embutida “Administrador”) tenta se autenticar remotamente via rede, o Windows rebaixa automaticamente o token dessa conta, removendo os privilégios administrativos durante a sessão remota. Isso é uma medida de segurança para mitigar ataques do tipo pass-the-hash.

O resultado prático é:

  • Compartilhamentos comuns (como IPC$, C$, pastas compartilhadas) funcionam normalmente, pois exigem apenas autenticação válida.
  • O compartilhamento ADMIN$ falha com “Acesso negado”, pois exige privilégios administrativos plenos — que foram rebaixados pelo UAC.

Esse comportamento explica por que, mesmo confirmando que a conta utilizada é membro do grupo Administradores local, o erro persiste.

Como Diagnosticar

Antes de aplicar a correção, é possível confirmar o diagnóstico manualmente, direto no servidor Veeam, usando o comando net use:

cmd

net use \\NOME-DO-SERVIDOR\IPC$ /user:NOME-DO-SERVIDOR\usuario senha

Se esse comando for concluído com êxito, a conectividade de rede e a autenticação estão corretas. O próximo teste isola o problema no ADMIN$:

cmd

net use \\NOME-DO-SERVIDOR\ADMIN$ /user:NOME-DO-SERVIDOR\usuario senha

Se o resultado for:

Erro de sistema 5.
Acesso negado.

E a conta em questão já for confirmada como membro do grupo Administradores local (verificável com net localgroup Administradores no servidor alvo), o diagnóstico do UAC Remote Restriction está confirmado.

A Solução

A correção consiste em ajustar uma chave de registro no servidor alvo (a máquina que está sendo adicionada ao Veeam), instruindo o Windows a não rebaixar o token de contas administrativas locais em conexões remotas.

Passo 1 — Criar a chave de registro

No servidor alvo, abra o PowerShell como Administrador e execute:

powershell

New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name LocalAccountTokenFilterPolicy -PropertyType DWORD -Value 1 -Force

Ou, alternativamente, via Prompt de Comando (cmd):

cmd

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Passo 2 — Reiniciar o serviço Server

Para que a alteração tenha efeito sem precisar reiniciar toda a máquina:

powershell

Restart-Service -Name LanmanServer -Force

⚠️ Esse comando derruba temporariamente todos os compartilhamentos de rede ativos na máquina. Se isso não for viável no momento, uma reinicialização completa do servidor também resolve.

Passo 3 — Validar a correção

De volta ao servidor Veeam (ou de qualquer máquina de teste), valide o acesso ao ADMIN$:

cmd

net use \\NOME-DO-SERVIDOR\ADMIN$ /delete
net use \\NOME-DO-SERVIDOR\ADMIN$ /user:NOME-DO-SERVIDOR\usuario senha

Se o comando for concluído com êxito, o problema está resolvido. Basta retornar ao console do Veeam Backup & Replication e adicionar (ou rescanear) o servidor novamente.

Checklist Rápido de Verificação

Antes de aplicar a correção acima, vale confirmar os seguintes pontos, que também podem contribuir para o mesmo erro:

  • O perfil de rede da máquina está definido como Particular/Privado, não Público
  • “Descoberta de rede” e “Compartilhamento de arquivo e impressora” estão ativados no perfil de rede atual
  • O serviço Server (LanmanServer) está em execução
  • O compartilhamento ADMIN$ existe (verificável com net share no servidor alvo)
  • A conta utilizada é membro do grupo Administradores local
  • Não há antivírus/EDR bloqueando conexões SMB administrativas

Conclusão

O erro “Acesso Negado” ao ADMIN$ é uma das causas mais comuns de falha ao adicionar servidores workgroup no Veeam Backup & Replication, e felizmente tem uma solução simples e bem documentada: ajustar a política de filtro de token do UAC via registro. Em ambientes com Active Directory, esse problema normalmente não ocorre, já que contas de domínio não sofrem esse rebaixamento de token.

Ficou com dúvidas ou o problema persistiu mesmo após aplicar essa correção? Deixe um comentário ou entre em contato com nosso suporte técnico.