Tabla de Referencia de Permisos y Derechos en Active Directory

WriteDacl

ADS_RIGHT_WRITE_DAC (0x40000)

Access Right

Permite modificar la DACL (lista de control de acceso discrecional) del objeto.

GenericAll

ADS_RIGHT_GENERIC_ALL (0x10000000)

Access Right

Proporciona control total sobre el objeto, incluyendo la modificación de permisos.

GenericWrite

ADS_RIGHT_GENERIC_WRITE (0x40000000)

Access Right

Permite realizar cambios en las propiedades del objeto, pero no cambiar permisos ni borrar el objeto.

WriteProperty

ADS_RIGHT_DS_WRITE_PROP (0x20)

Access Right

Permite modificar las propiedades de un objeto.

WriteOwner

ADS_RIGHT_WRITE_OWNER (0x80000)

Access Right

Permite cambiar el propietario de un objeto.

Self

No aplica/GUID específico de la operación

Access Right

Permite a un usuario modificar sus propios atributos o pertenencia a ciertos grupos.

AllExtendedRights

ADS_RIGHT_DS_CONTROL_ACCESS (0x100)

Access Right

Otorga todos los derechos extendidos, como cambiar contraseñas o leer propiedades no replicadas.

User-Force-Change-Password

{00299570-246d-11d0-a768-00aa006e0529}

Control Access Right (extended right)

Permite forzar el cambio de contraseña de otro usuario.

DS-Replication-Get-Changes

{1131f6ae-9c07-11d1-f79f-00c04fc2dcd2}

Control Access Right (extended right)

Permite sincronizar cambios de datos de AD (usado en ataques DCSync).

DS-Replication-Get-Changes-All

{1131f6ad-9c07-11d1-f79f-00c04fc2dcd2}

Control Access Right (extended right)

Permite ver todos los cambios, incluyendo versiones anteriores y eliminadas de objetos (usado en ataques DCSync).

Self-Membership

bf9679c0-0de6-11d0-a285-00aa003049e2

Validate Write

Permite a un usuario modificar su propia pertenencia a ciertos grupos.

Validated-SPN

f3a64788-5306-11d1-a9c5-0000f80367c1

Validate Write

Permite a un servicio agregar o modificar el atributo Service Principal Name (SPN) de su propio objeto de cuenta.