Tras reinstalar Windows, una carpeta de respaldo en tu NAS con OpenMediaVault devuelve “Access is denied”, mientras otras compartidas siguen funcionando. En esta guía encontrarás la explicación y una ruta de solución probada para recuperar el acceso sin comprometer la seguridad.

Contexto y síntoma

Escenario típico: tienes un NAS con OpenMediaVault (OMV) 5.x donde compartes varias carpetas por SMB/CIFS (por ejemplo, Fotos, Películas y Respaldo). Tras instalar Windows en un SSD nuevo, al intentar abrir la carpeta de Respaldo aparece el mensaje Access is denied, mientras que el resto de compartidas funcionan con normalidad. Cambiar de credenciales, limpiar el Administrador de credenciales de Windows o habilitar opciones de uso compartido parece no arreglarlo.

Qué está pasando realmente

En SMB, la autenticación y la autorización son dos pasos diferentes:

• Autenticación: Windows envía un usuario/contraseña a Samba (en OMV). admin (de la interfaz web) y root no son válidos para SMB. Los accesos por red requieren usuarios normales creados en OMV.
• Autorización: aunque te autentiques bien, el servidor solo te da acceso si ese usuario tiene permisos sobre la carpeta a nivel de Privilegios y, si están en uso, en la ACL del sistema de archivos.

Tras una reinstalación de Windows es común que:

• Windows reuse credenciales en caché vinculadas al hostname del NAS o a una IP anterior.
• Se envíe sin querer la credencial de la cuenta Microsoft (p. ej. MicrosoftAccount\correo@...) en lugar de la de OMV.
• La carpeta de Respaldo tenga permisos/ACL distintos al resto (por diseño, por un movimiento de datos, o por haber restaurado desde otra máquina).

Diagnóstico rápido

Antes de modificar nada, esta es la comprobación exprés:

1. En otra PC de la red, ¿esa carpeta abre sin error? Si sí, el problema está en Windows (credenciales o sesión SMB).
2. Desde la misma PC, ¿puedes abrir otras compartidas del NAS? Si sí, el servicio SMB funciona; el bloqueo está en permisos de esa carpeta o credenciales inconsistentes.
3. ¿Conectando por IP (\\192.168.x.x\Respaldo) se comporta distinto que por nombre (\\NAS\Respaldo)? Si cambian los resultados, hay caché DNS o credenciales asociadas a un alias.

Causas probables y acciones recomendadas

Causa probable	Señales	Acción
Usuario equivocado para SMB	Intentos con admin/root fallan; otras carpetas públicas abren	Crear usuario normal en OMV y usarlo para el share
Permisos/ACL desalineados en esa carpeta	Solo Respaldo falla; Fotos/Películas abren	Ajustar Privilegios y ACL; verificar propietario/grupo
Credenciales en caché de Windows	Con IP funciona, con nombre no; o viceversa	Eliminar sesiones y credenciales; reconectar explícitamente
Configuración SMB incoherente	NAS antiguo o cambios en protocolos	Forzar SMB2–SMB3; evitar invitado; actualizar OMV/Samba
Alias del servidor en uso	Diferencia entre \\NAS, \\NAS.local y \\IP	Unificar acceso por IP/hostname y limpiar credenciales por alias

Solución paso a paso comprobada

Crear un usuario normal en OMV para SMB

1. En OMV: Usuarios → Usuario nuevo (p. ej. backupuser) con contraseña robusta.
2. No uses admin (solo web) ni root (no SMB). Los shares en OMV están pensados para usuarios estándar.

Añadir privilegios y revisar ACL de la carpeta

1. En OMV: Almacenamiento → Carpetas compartidas → selecciona Respaldo → Privilegios → otorga Lectura/Escritura a backupuser. Guarda.
2. Si usas ACL en OMV: en la misma carpeta, abre ACL y verifica:
   • Propietario: backupuser
   • Grupo: users
   • Permisos efectivos: rwx para propietario, rw o rwx para grupo según necesidad.
   • Habilita herencia si quieres que aplique a subcarpetas y archivos existentes.
3. Aplica los cambios y espera a que OMV procese la propagación.

Consejo: si la carpeta contiene millones de archivos, aplica primero en la raíz y luego en subcarpetas críticas; evita bloquear el NAS durante horas.

Configurar correctamente SMB/CIFS en OMV

1. Servicios → SMB/CIFS → General:
   • Mínimo protocolo: SMB2
   • Máximo protocolo: SMB3
   • Evita SMB1 salvo diagnóstico puntual.
2. Servicios → SMB/CIFS → Compartidos → abre Respaldo:
   • Público: No (requerir credenciales evita el modo invitado y errores de mapeo).
   • Solo lectura: No, salvo que desees un respaldo inmutable.

Eliminar sesiones y credenciales en Windows

Cierras todas las conexiones SMB activas y eliminas credenciales almacenadas antes de volver a probar:

:: Cerrar todas las conexiones SMB abiertas
net use * /delete /y

\:: Listar credenciales guardadas
cmdkey /list

\:: Borrar credenciales asociadas al NAS (repite por cada alias: IP, hostname)
cmdkey /delete\:TERMINAL 

Luego, en Panel de control → Administrador de credenciales → Credenciales de Windows, elimina las entradas Genéricas del NAS. Reinicia Windows para limpiar cacheos residuales.

Alternativa con PowerShell (útil para ver mapeos persistentes):

# Mostrar conexiones SMB activas
Get-SmbConnection

Eliminar todos los mapeos persistentes

Get-SmbMapping | Remove-SmbMapping -Force 

Conectar explícitamente por IP con el usuario de OMV

Evita que Windows elija la credencial equivocada indicando usuario y ruta de forma explícita:

:: Sustituye <IP>, <SHARE> y la contraseña real
net use \<IP><SHARE> /user:backupuser <contraseña>

O desde el Explorador: escribe \<IP>\, botón derecho sobre la carpeta, Conectar unidad de red y, cuando pida credenciales, especifica backupuser y su contraseña. Si Windows muestra MicrosoftAccount\correo@..., cámbialo manualmente por backupuser.

Importante: Windows no permite usar distintas credenciales simultáneamente contra el mismo servidor SMB. Si mapeaste otra carpeta de ese NAS con un usuario diferente, desmapea primero o usa un alias distinto (por ejemplo, IP para una y nombre de host para otra), sabiendo que esto puede complicar el mantenimiento.

Si persiste “Access is denied”: reparar herencia/ACL

Cuando la carpeta fue creada/copieda por otro usuario o desde otra máquina, los permisos pueden haber quedado “soldados”. En OMV:

1. Almacenamiento → Carpetas compartidas → selecciona Respaldo → ACL:
   • Establece propietario/grupo correctos (backupuser:users).
   • Habilita herencia y aplica a subcarpetas/archivos.
2. Aplica y espera. Vuelve a probar desde Windows con net use.

Si usas el complemento de restablecer permisos de OMV, ejecútalo solo sobre la carpeta de Respaldo, nunca en todo el disco, y valida primero en una copia pequeña.

Pruebas adicionales y casos especiales

• IP vs hostname: prueba \<IP>\Respaldo. Si por IP funciona y por nombre no, limpia caché DNS (ipconfig /flushdns) y comprueba que no haya entradas conflictivas en el archivo hosts.
• Firewall/antivirus: desactiva temporalmente para descartar bloqueo de cliente. Vuelve a habilitar después de la prueba.
• Actualizaciones: aplica actualizaciones de OMV/Samba. Aunque uses OMV 5, mantener parches de seguridad y estabilidad evita sorpresas.
• Conflictos de IP: asegúrate de que el NAS no comparta IP con otro equipo; reserva IP en tu router por DHCP.
• Formato de usuario: normalmente basta backupuser. Si tu entorno usa dominios/Workgroup específicos, puedes probar OMV\backupuser. No uses root.

Buenas prácticas para evitar recaídas

• Crea un usuario dedicado (p. ej. backupuser) solo para la carpeta de respaldo y revoca privilegios innecesarios.
• Mantén SMB2–SMB3 como rango de protocolo; evita SMB1.
• Evita el modo invited/guest en shares sensibles. “Público: No” en OMV para Respaldo.
• Documenta propietario/grupo y permisos de cada compartida; revisa herencia tras restauraciones o copias masivas.
• No mezcles credenciales por alias: decide usar siempre IP o siempre hostname.
• Haz un backup de configuración de OMV antes de cambios grandes (migraciones, reajuste de ACL).

Preguntas frecuentes

¿Por qué admin o root no sirven para SMB?
Porque admin es exclusivo del panel web y root es para el sistema/SSH. Samba valida contra usuarios “normales” de OMV, añadidos a la base de usuarios del servidor.

¿Necesito activar SMB1 para compatibilidad?
No. Windows 10/11 y OMV trabajan bien con SMB2/SMB3. Hablar con SMB1 solo se sugiere como diagnóstico temporal en entornos muy antiguos y debe revertirse.

¿Por qué otras compartidas abren pero Respaldo no?
Esa carpeta suele tener permisos distintos (copias hechas como otro usuario, restauraciones, importaciones desde discos externos). Ajustar Privilegios y ACL lo corrige.

¿Puedo usar mi cuenta Microsoft de Windows?
No directamente. Debes autenticarte con un usuario de OMV (como backupuser). Si Windows insiste en proponer MicrosoftAccount\..., cámbialo manualmente.

¿Puedo tener dos usuarios distintos conectados a un mismo NAS?
Windows no permite dos conjuntos de credenciales simultáneos contra el mismo servidor SMB. Usa un único usuario por servidor o alias distintos sabiendo las implicaciones.

Procedimiento completo con verificación y roll‑back

1. Audita: desde OMV, captura pantallazos de Privilegios/ACL actuales de la carpeta.
2. Crea el usuario backupuser si no existe.
3. Otorga privilegios RW a backupuser en la carpeta.
4. Ajusta ACL con propietario backupuser y grupo users. Habilita herencia si procede.
5. Configura SMB: Público “No”, SMB2–SMB3.
6. Limpia credenciales y sesiones en Windows.
7. Conecta por IP con net use y valida lectura/escritura (crea, edita, borra un archivo de prueba).
8. Revisa que otras compartidas siguen accesibles con las mismas credenciales (consistencia).
9. Documenta el estado final (capturas de OMV, comandos ejecutados) para futuras migraciones.

Comprobaciones útiles desde el servidor (avanzado)

Si tienes acceso por SSH y sabes lo que haces, puedes inspeccionar propietario/ACL y el estado de Samba. Úsalo con precaución:

# Ver propietario/grupo y permisos POSIX de la carpeta
ls -ld /srv/dev-disk-by-uuid-.../Respaldo

Listar reglas ACL si están en uso

getfacl /srv/dev-disk-by-uuid-.../Respaldo | less

Validar la configuración de Samba

testparm -s

Ver conexiones activas a Samba (útil para cerrar sesiones antiguas)

smbstatus 

Para corregir propietario/grupo en bloque (solo si estás seguro):

chown -R backupuser:users /ruta/a/Respaldo
Ajustar permisos POSIX básicos (ejemplo)
chmod -R u+rwX,g+rwX,o-rwx /ruta/a/Respaldo

Advertencia: no ejecutes estos comandos a ciegas en todo el volumen; limita el ámbito a la carpeta involucrada.

Errores frecuentes y cómo evitarlos

• Usar admin/root para SMB → crea un usuario normal.
• Habilitar SMB1 “para ver si funciona” y dejarlo así → evita SMB1; vuelve a SMB2/3.
• Aplicar reset de permisos a todo el disco → limita el cambio a la carpeta problemática.
• Conectar con credenciales distintas al mismo servidor → unifica el usuario de acceso.
• Asumir que “Protección con contraseña desactivada” en Windows afecta al NAS → esa opción es para compartidos del propio PC.

Checklist imprimible

Tarea	Hecho	Notas
Crear usuario backupuser en OMV	☐
Asignar Privilegios RW a Respaldo	☐
Revisar/propagar ACL y herencia	☐
SMB General: SMB2–SMB3; Público “No”	☐
Eliminar sesiones/credenciales en Windows	☐
Conectar por IP con net use	☐
Probar lectura/escritura y consistencia	☐

Guía rápida de comandos

Windows (CMD):

net use * /delete /y
cmdkey /list
cmdkey /delete:TERMINAL
net use \<IP><SHARE> /user:backupuser <contraseña>

Windows (PowerShell):

Get-SmbConnection
Get-SmbMapping | Remove-SmbMapping -Force

Resumen accionable

La gran mayoría de incidencias “Access is denied” en OMV tras reinstalar Windows se corrigen al:

1. Usar un usuario normal de OMV exclusivo para SMB.
2. Otorgar Privilegios (y alinear ACL) específicos en la carpeta de Respaldo.
3. Forzar el rango SMB2–SMB3 y evitar el invitado.
4. Limpiar credenciales en Windows y reconectar por IP con el usuario correcto.

Con estos pasos, el acceso a la carpeta de respaldo queda restablecido sin relajar la seguridad del NAS.

Guía de referencia rápida

• Usuario para SMB: backupuser (no admin/root).
• Privilegios: RW para backupuser en la carpeta.
• ACL: propietario backupuser, grupo users, herencia activa si aplica.
• SMB: Público “No”, SMB2–SMB3.
• Windows: net use * /delete /y, limpia cmdkey, reconecta por IP con backupuser.

---

Cheat‑sheet final

1. Crear backupuser en OMV.
2. Dar RW en Privilegios y revisar ACL de Respaldo.
3. SMB min=SMB2, max=SMB3, público=No.
4. En Windows: net use * /delete /y y limpiar cmdkey.
5. Conectar: net use \\IP\share /user:backupuser ....
6. Si persiste: reaplicar ACL con herencia.
7. Probar por IP, revisar firewall y actualizar OMV/Samba.