# Tipos de permisos

En un entorno de Active Directory (AD), los permisos o derechos sobre los objetos pueden ser asignados a través de las Listas de Control de Acceso (ACLs). Estos permisos definen qué acciones puede realizar un usuario o grupo sobre un objeto determinado dentro del directorio. A continuacion explicaremos, cada uno de los permisos ms comunes y cómo podrían ser utilizados por un atacante:

<figure><img src="/files/NDJWZ8YeQM2lFZrZ59dq" alt=""><figcaption></figcaption></figure>

## <mark style="color:red;">GenericAll</mark>

Derechos totales sobre el objeto.&#x20;

**Uso por un atacante**: Este permiso otorga control total sobre un objeto. Un atacante podría agregar usuarios a grupos, restablecer contraseñas o modificar cualquier aspecto del objeto en cuestión.

## <mark style="color:red;">GenericWrite</mark>

&#x20;Actualización de los atributos del objeto.&#x20;

**Uso por un atacante**: Con este permiso, un atacante podría cambiar atributos críticos de un objeto, como el script de inicio de sesión, lo que podría utilizarse para ejecutar comandos maliciosos cuando los usuarios inicien sesión.

## <mark style="color:red;">WriteOwner</mark>

Cambiar el propietario del objeto a un usuario controlado por el atacante.&#x20;

**Uso por un atacante**: Al cambiar el propietario de un objeto a una cuenta que controla, el atacante puede asumir todos los derechos sobre dicho objeto, permitiéndole modificarlo a voluntad o incluso eliminarlo.

## <mark style="color:red;">WriteDACL</mark>

Modificar las ACEs (Entradas de Control de Acceso) del objeto y darle al atacante plenos derechos sobre el objeto.&#x20;

**Uso por un atacante**: Este permiso permite a un atacante alterar las ACLs del objeto, dándose a sí mismo más permisos y, potencialmente, obtener control completo sobre él.

## <mark style="color:red;">AllExtendedRights</mark>

Capacidad de añadir usuarios a un grupo o restablecer contraseñas.&#x20;

**Uso por un atacante**: Los derechos extendidos incluyen acciones críticas como añadir un usuario a un grupo administrativo o restablecer la contraseña de cualquier usuario, lo cual podría ser abusado para escalar privilegios o tomar control de cuentas.

## <mark style="color:red;">ForceChangePassword</mark>

Capacidad de cambiar la contraseña de un usuario.&#x20;

**Uso por un atacante**: Este permiso permite al atacante cambiar la contraseña de un usuario sin conocer la contraseña actual, lo que podría usarse para comprometer cuentas sin alertar al usuario legítimo.

## <mark style="color:red;">Self (Self-Membership)</mark>

Capacidad de añadirse a uno mismo a un grupo.&#x20;

**Uso por un atacante**: Si un atacante puede otorgarse a sí mismo la membresía a un grupo privilegiado, puede elevar sus privilegios dentro del entorno de AD.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpad/vulnerabilidades-y-ataques-en-ad/abuso-de-acl/tipos-de-permisos.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.