# Tipos de permisos

En un entorno de Active Directory (AD), los permisos o derechos sobre los objetos pueden ser asignados a través de las Listas de Control de Acceso (ACLs). Estos permisos definen qué acciones puede realizar un usuario o grupo sobre un objeto determinado dentro del directorio. A continuacion explicaremos, cada uno de los permisos ms comunes y cómo podrían ser utilizados por un atacante:

<figure><img src="https://1580805812-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FzDuZE3U19tNNqSAmcpyE%2Fuploads%2FCHAsfX47WrdIgeXqX1vQ%2Fimage.png?alt=media&#x26;token=6d19c74d-f196-436f-b686-6bc065893541" alt=""><figcaption></figcaption></figure>

## <mark style="color:red;">GenericAll</mark>

Derechos totales sobre el objeto.&#x20;

**Uso por un atacante**: Este permiso otorga control total sobre un objeto. Un atacante podría agregar usuarios a grupos, restablecer contraseñas o modificar cualquier aspecto del objeto en cuestión.

## <mark style="color:red;">GenericWrite</mark>

&#x20;Actualización de los atributos del objeto.&#x20;

**Uso por un atacante**: Con este permiso, un atacante podría cambiar atributos críticos de un objeto, como el script de inicio de sesión, lo que podría utilizarse para ejecutar comandos maliciosos cuando los usuarios inicien sesión.

## <mark style="color:red;">WriteOwner</mark>

Cambiar el propietario del objeto a un usuario controlado por el atacante.&#x20;

**Uso por un atacante**: Al cambiar el propietario de un objeto a una cuenta que controla, el atacante puede asumir todos los derechos sobre dicho objeto, permitiéndole modificarlo a voluntad o incluso eliminarlo.

## <mark style="color:red;">WriteDACL</mark>

Modificar las ACEs (Entradas de Control de Acceso) del objeto y darle al atacante plenos derechos sobre el objeto.&#x20;

**Uso por un atacante**: Este permiso permite a un atacante alterar las ACLs del objeto, dándose a sí mismo más permisos y, potencialmente, obtener control completo sobre él.

## <mark style="color:red;">AllExtendedRights</mark>

Capacidad de añadir usuarios a un grupo o restablecer contraseñas.&#x20;

**Uso por un atacante**: Los derechos extendidos incluyen acciones críticas como añadir un usuario a un grupo administrativo o restablecer la contraseña de cualquier usuario, lo cual podría ser abusado para escalar privilegios o tomar control de cuentas.

## <mark style="color:red;">ForceChangePassword</mark>

Capacidad de cambiar la contraseña de un usuario.&#x20;

**Uso por un atacante**: Este permiso permite al atacante cambiar la contraseña de un usuario sin conocer la contraseña actual, lo que podría usarse para comprometer cuentas sin alertar al usuario legítimo.

## <mark style="color:red;">Self (Self-Membership)</mark>

Capacidad de añadirse a uno mismo a un grupo.&#x20;

**Uso por un atacante**: Si un atacante puede otorgarse a sí mismo la membresía a un grupo privilegiado, puede elevar sus privilegios dentro del entorno de AD.