Active Directory安全提示 #15：Active Directory域根权限

本周，让我们关注配置在域根并应用于整个域的Active Directory域权限。存在多种值得关注的权限类型，但让我们先审视最严重的那几种。

• 目录更改 & 全部目录更改 - 提供获取用户和计算机密码哈希的能力（即DCSync权限）。
• 更改所有者 - 提供在域根设置所有者的能力，而所有者有权设置权限。
• 更改权限 - 提供在域根设置权限的能力。
• 完全控制 - 提供控制域内任何类型对象的能力。
• 对用户和/或计算机的完全控制 - 提供控制该对象类型的能力。

我编写了一个利用Active Directory PowerShell模块的PowerShell脚本，可以帮助识别域根上的这些权限：https://github.com/PyroTek3/Misc/blob/main/Get-DomainRootPermissions.ps1

了解更多关于Active Directory权限的信息：

• https://hub.trimarcsecurity.com/post/trimarc-whitepaper-owner-or-pwnd
• https://specterops.io/wp-content/uploads/sites/3/2022/06/an_ace_up_the_sleeve.pdf

了解更多关于DCSync的信息：

• https://adsecurity.org/?p=1729