¿Windows 10 te muestra de forma intermitente el aviso “You don’t have permission to modify files…” al guardar en una unidad de red (PDF, CSV u otros)? A continuación encontrarás un procedimiento claro y profundo para diagnosticar y eliminar la causa real, priorizando acciones que corrigen los “falsos” Permiso denegado que luego desaparecen al reintentar.

Resumen del caso

• El error aparece al guardar en un recurso de red y suele desaparecer al segundo intento.
• El usuario tiene permisos correctos y trabaja por conexión cableada.
• No está ligado a una aplicación concreta: ocurre con impresoras PDF, Excel, Acrobat, etc.
• Nadie más reporta el problema en el mismo recurso compartido.

Hipótesis principal y prueba decisiva

La hipótesis más sólida cuando el fallo es intermitente y aislado a un único usuario es un perfil de usuario dañado (cachés, credenciales guardadas, claves de registro corruptas, rutas de shell o políticas locales incoherentes).

Prueba recomendada: crea una cuenta local nueva con privilegios de administrador en el equipo afectado y reproduce el escenario (mismo recurso de red, misma app, misma ruta). Si no falla en la cuenta nueva, has aislado el problema al perfil. En ese caso, migra el perfil antiguo al nuevo.

Por qué aparece “Permiso denegado” y luego funciona

Guardar en red no es una única operación; muchas aplicaciones:

• Crean un archivo temporal y después lo renombran/sustituyen por el definitivo.
• Escriben metadatos y cambian atributos en milisegundos distintos.
• Dependen de un mapeo de credenciales coherente y de tickets Kerberos válidos.

Si el usuario no tiene el derecho Eliminar o hay cachés/credenciales en conflicto, antivirus que intercepta el renombrado, rutas con DFS que envían a targets con permisos distintos, o microcortes de red, el primer intento puede fallar y el siguiente éxito al variar el orden/estado de esas operaciones.

Solución rápida recomendada

1. Probar en cuenta nueva. Si el fallo desaparece, migra el perfil del usuario afectado y da por resuelto.
2. Verificar permisos efectivos NTFS y de compartido, asegurando Modificar e implícitamente Eliminar.
3. Limpiar credenciales y mapeos duplicados, y revisar Archivos sin conexión.
4. Comprobar antivirus/EDR/DLP, DFS, sincronización de hora/Kerberos, energía/driver de NIC y UAC con procesos elevados.
5. Registrar eventos en cliente/servidor para apuntar a la causa exacta si persiste.

Mapa de síntomas y causas probables

Síntoma observable	Causa frecuente	Acción recomendada
Falla al guardar y funciona al segundo intento	Falta de Eliminar o conflicto de renombrado con antivirus	Revisar permisos NTFS/compartido y exclusiones en AV/EDR
Falla sólo con unidad mapeada, no con ruta UNC	UAC y sesiones elevadas sin mapeos visibles	Usar UNC o habilitar EnableLinkedConnections
Falla sólo tras horas de sesión	Tickets Kerberos caducados o reloj desincronizado	klist purge y w32tm /resync, cerrar sesión
Un usuario falla en una carpeta y otro no	Perfil corrupto del usuario que falla	Probar cuenta nueva y migrar perfil
Falla aleatorio en rutas DFS	Permisos inconsistentes entre targets	Alinear permisos NTFS/herencia en todos los destinos
Falla cuando el equipo vuelve de suspensión	Ahorro de energía del adaptador de red	Desactivar “permitir apagar este dispositivo” y actualizar driver

Acciones recomendadas en orden práctico

Enfocadas en eliminar causas típicas de “permiso denegado” que se resuelven al reintentar.

1. Verificar derechos efectivos en la carpeta de red Asegura que el usuario (o su grupo) tenga Modificar tanto en el compartido como en NTFS. Recuerda:
   • El permiso Modificar incluye Eliminar en NTFS. El de compartido, con nivel Cambiar o Modificar, también contempla eliminar en el recurso.
   • Guardar desde muchas apps requiere crear archivo temporal (~$archivo.tmp) y luego renombrar/sustituir. Si falta Eliminar, puede fallar el primer intento con “no tienes permiso”.
   Comandos útiles en el cliente: whoami /groups icacls \\servidor\recurso\carpeta /T Buena práctica: concede Modificar en NTFS al grupo (p. ej., Domain Users o un grupo de seguridad específico) y en el compartido concede Leer/Cambiar al mismo grupo, evitando excepciones manuales.
2. Limpiar y normalizar credenciales y mapeos de red Las credenciales almacenadas o mapeos con usuarios distintos provocan prompts erráticos y accesos denegados. net use net use \\servidor\recurso /delete cmdkey /list cmdkey /delete:TERMSRV/servidor cmdkey /delete:servidor Elimina entradas antiguas en Administrador de credenciales, desconecta y mapea de nuevo: net use Z: \\servidor\recurso /user:DOMINIO\usuario * Siempre que sea posible, usa ruta UNC en lugar de letra mapeada durante las pruebas para aislar problemas de sesión/UAC.
3. Descartar problemas de perfil Crea un usuario local nuevo con derechos de administrador, inicia sesión y prueba la misma operación:
   • Si no falla, migra el perfil: copia datos de C:\Users\UsuarioAntiguo a C:\Users\UsuarioNuevo (Documentos, Escritorio, Favoritos, AppData\Roaming de apps críticas). No copies NTUSER.DAT, NTUSER.ini ni subcarpetas de caché conflictivas.
   • Reconfigura perfiles de aplicaciones que lo requieran (Outlook, Adobe, etc.).
   Esta acción suele resolver casos persistentes que sólo afectan a una persona.
4. Revisar “Archivos sin conexión” Si no usas Offline Files, desactívalos para evitar conflictos de sincronización y bloqueos temporales:
   1. Abrir Centro de sincronización > Administrar archivos sin conexión.
   2. Pulsar Deshabilitar y reiniciar.
   Si se requieren, fuerza una sincronización y borra la caché si está dañada.
5. Antivirus, EDR y DLP Los agentes de seguridad pueden interceptar escrituras y renombrados en recursos SMB. Como prueba controlada con Seguridad TI:
   • Excluye temporalmente la ruta UNC del recurso compartido.
   • Excluye el proceso de la aplicación que guarda los archivos.
   • Revisa los logs del agente en el momento del fallo.
   Si el problema desaparece con la exclusión, crea una regla permanente acorde a las políticas corporativas.
6. Revisar uso de DFS o múltiples destinos En entornos DFS, un mismo camino lógico puede apuntar a varios targets. Si los permisos no están alineados, un intento caerá en un destino “estricto” y otro en uno “permisivo”, produciendo intermitencia.
   • Comprueba los permisos NTFS y de compartido en todos los targets.
   • Verifica herencia y propietarios de la carpeta de destino.
   • Temporalmente, apunta a un target específico por su UNC física y prueba.
7. Tiempo, credenciales de sesión y Kerberos La desincronización de hora y tickets caducados ocasionan denegaciones esporádicas. Ejecuta en el cliente: w32tm /resync klist klist purge Después de purgar, cierra sesión e inicia de nuevo para renovar credenciales. Asegura que el servidor también sincroniza la hora correctamente.
8. Adaptador de red y energía Los microcortes se traducen a errores en operaciones SMB. Recomendaciones:
   • En Administrador de dispositivos > Adaptadores de red > Propiedades > Administración de energía, desmarca “Permitir que el equipo apague este dispositivo para ahorrar energía”.
   • Actualiza el driver de la NIC a la última versión validada por TI.
   • En Opciones de energía, ajusta el plan a Alto rendimiento.
9. UAC y procesos elevados Si una app se ejecuta con elevación y la unidad mapeada existe sólo en la sesión no elevada, la app no la “ve” y puede fallar la escritura.
   • Usa rutas UNC en la aplicación en vez de letras mapeadas.
   • O habilita EnableLinkedConnections (política corporativa mediante GPO):
   reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ^ /v EnableLinkedConnections /t REG_DWORD /d 1 /f Reinicia el equipo tras aplicarlo.
10. Visor de eventos en cliente y servidor Cuando ocurra el error, anota la hora exacta y revisa:
    • Cliente: Registros de Windows > Aplicación y Sistema, y Aplicaciones y servicios > Microsoft > Windows > SMBClient (Conectividad/Operativo). También alertas del agente de seguridad.
    • Servidor: SMBServer y Seguridad con auditoría de acceso a objetos (eventos detallados de recurso compartido, p. ej., intentos de Delete o Rename sobre el archivo).
    Busca correlaciones: Access Denied en operaciones de SetInfo/Rename, bloqueos de antivirus o caídas de sesión.

Cómo verificar permisos de manera eficaz

Para evitar falsos positivos, valida el conjunto NTFS ∩ Compartido con una cuenta de prueba que pertenezca a los mismos grupos que el usuario:

1. En el servidor, en la pestaña Seguridad de la carpeta, usa Acceso efectivo para ese usuario y confirma Modificar.
2. En la pestaña Uso compartido, confirma que el grupo del usuario tiene como mínimo Cambiar.
3. Comprueba que no haya DENY explícitos heredados en subcarpetas.

Si el flujo requiere sobrescribir archivos, Eliminar debe estar permitido o el renombrado atomizado fallará.

Checklist de diagnóstico rápido

• Probar con UNC en lugar de unidad mapeada.
• Guardar primero en local y luego copiar al recurso. ¿Falla la copia?
• Ejecutar la app sin elevación y con elevación. ¿Cambia?
• Comprobar fecha y hora del cliente y servidor.
• Ejecutar net use para detectar mapeos duplicados o con otro usuario.
• Revisar si hay Archivos sin conexión activos sobre esa ruta.
• Desactivar temporalmente el antivirus/EDR en esa ruta para prueba.

Plantilla de comandos útiles

:: Mostrar conexiones SMB
Get-SmbConnection

\:: Ver configuración del cliente SMB
Get-SmbClientConfiguration

\:: Ver sesiones e identificadores abiertos
Openfiles /query

\:: Comprobar ACL efectivas (cliente)
icacls \servidor\recurso\carpeta /T

\:: Ver tickets y renovar
klist
klist purge
w32tm /resync

\:: Limpiar mapeos y credenciales
net use
net use \servidor\recurso /delete
cmdkey /list
cmdkey /delete\:servidor 

Detalles de migración de perfil de usuario

Si la cuenta nueva no presenta el problema, migra así:

1. Crea la cuenta destino e inicia sesión una vez para generar C:\Users\Nuevo. Cierra sesión.
2. Desde una cuenta administrativa distinta, copia de C:\Users\Antiguo a C:\Users\Nuevo sólo los datos de usuario:
   • Documentos, Escritorio, Imágenes, Descargas.
   • Favoritos y perfiles de navegador si corresponde.
   • AppData\Roaming de apps críticas (verifica caso por caso).
3. No copies archivos de raíz del perfil (NTUSER.DAT, NTUSER.ini, UsrClass.dat), ni cachés de AppData\Local\Temp. Evita arrastrar la corrupción.
4. Reconfigura credenciales y perfiles de aplicaciones y verifica que el problema haya desaparecido.

Consideraciones de entorno corporativo

• Gestiona EnableLinkedConnections y exclusiones de AV/EDR mediante GPO/Consola de seguridad, no localmente si puedes evitarlo.
• Estándar de permisos: NTFS a nivel de carpeta raíz del recurso con grupos, no usuarios sueltos. Menos excepciones, menos intermitencia.
• En DFS, documenta un procedimiento para validar permisos en todos los targets antes de publicar cambios.
• Monitorea latencia de red y errores en SMB con reglas en el SIEM para detectar picos de Access Denied y correlacionarlos con despliegues de agentes.

Causas menos obvias a descartar

• Rutas demasiado largas o caracteres especiales que algunas apps no manejan bien. Prueba con un nombre corto en una carpeta de nivel alto.
• Bloqueos exclusivos por vistas previas o indexadores en el servidor. Cierra exploradores y repite.
• Cuotas al límite en la carpeta de usuario o en el volumen del servidor. Verifica uso de disco.
• Versionado u otras características del servidor que impongan reglas de retención/renombre.

Registro de la incidencia, para llegar a raíz

Cuando ocurra el siguiente fallo, captura:

1. Fecha y hora exactas, nombre del archivo, ruta UNC y aplicación utilizada.
2. Salida de net use, klist y Get-SmbConnection en el momento.
3. Evento correlativo en SMBClient del cliente y SMBServer/Seguridad del servidor.
4. Alertas del antivirus/EDR coincidentes.

Con esos datos, la causa suele quedar en evidencia: derechos insuficientes al renombrar, credenciales en conflicto, caché de perfil, o interferencia de seguridad.

Plan breve de acción validado

1. Probar en cuenta nueva. Si no falla, migrar perfil y cerrar el incidente.
2. Corregir permisos NTFS/Compartido asegurando Modificar y por ende Eliminar.
3. Limpiar credenciales y mapeos, desactivar Offline Files si no se usan.
4. Revisar antivirus/EDR con exclusiones controladas.
5. Verificar DFS, hora, drivers de red y energía.
6. Registrar eventos para causa raíz si persiste.

Conclusión

El mensaje intermitente “You don’t have permission to modify files…” al guardar en una unidad de red en Windows 10 casi siempre se debe a permisos incompletos en flujos de renombrado, credenciales/mapeos incoherentes, interferencia de seguridad o daño en el perfil. Siguiendo el orden de acciones de esta guía —probar con un perfil limpio, ajustar permisos, normalizar credenciales, revisar Offline Files, antivirus/EDR, DFS, Kerberos y NIC— podrás eliminar la intermitencia y estabilizar los guardados en red de manera definitiva.

Consejo final: Incluso si una “prueba rápida” parece solucionar, deja documentadas las causas descartadas y los cambios aplicados. Así evitarás regresiones cuando se actualicen agentes, políticas o destinos DFS.