# 3.4.2.7 ACL
对域对象有WriteDacl权限===>DCSync (通过为指定用户添加ACE实现)(ACL是一个ACE列表)
ACL是一组规则,用于定义哪些实体对特定AD对象具有哪些权限。这些对象可以是用户帐户,组,计算机帐户,域本身等,ACL分为SACL(System ACL)和DACL(Discretionanly ACL)
对象的ACL中,包含一个访问控制项(ACE),ACE定义了身份和在OU和/或降级对象上应用的相应权限。
通过下面的模型理解他们之间的关系
获得ACL的关联项:
“`bash
Get-ObjectAcl -SamAccountName Administrator -ResolveGUIDs
Get-ObjectAcl -ADSPrefix ‘CN=Administrator,CN=Users’ -Verbos
“`
Active Directory模块:
“`bash
(Get-Acl ‘AD:\CN=Administrator,CN=Users,DC=cascade,DC=local’).access
“`
通过Ldap进行查询:
“`bash
Get-ObjectAcl -ADSpath ‘LDAP://CN=Administrator,CN=Users,DC=cascade,DC=local’ -ResolveGUIDs -Verbos
“`
查找ACEs:
“`bash
Invoke-ACLScanner -ResolveGUIDs
“`
通过特定路径查找ACLs
“`bash
Get-PathAcl -Path “\\CASC-DC1.cascade.local\\sysvol”
“`
查找有权限修改ACL的用户
“`bash
Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name}
“`
请登录后查看评论内容