# 3.4.2.7 ACL

对域对象有WriteDacl权限===>DCSync （通过为指定用户添加ACE实现）（ACL是一个ACE列表）

ACL是一组规则，用于定义哪些实体对特定AD对象具有哪些权限。这些对象可以是用户帐户，组，计算机帐户，域本身等，ACL分为SACL（System ACL）和DACL（Discretionanly ACL）

对象的ACL中，包含一个访问控制项（ACE），ACE定义了身份和在OU和/或降级对象上应用的相应权限。

通过下面的模型理解他们之间的关系

![5.png](images/yushentou/f79de98679d04180b5ef4efbb053bb68.png)

获得ACL的关联项：

```bash
Get-ObjectAcl -SamAccountName Administrator -ResolveGUIDs
Get-ObjectAcl -ADSPrefix 'CN=Administrator,CN=Users' -Verbos

```

![6.png](images/yushentou/602914d1964349a3973cb1c4d25b9fd1.png)

Active Directory模块：

```bash
(Get-Acl 'AD:\CN=Administrator,CN=Users,DC=cascade,DC=local').access

```

通过Ldap进行查询：

```bash
Get-ObjectAcl -ADSpath  'LDAP://CN=Administrator,CN=Users,DC=cascade,DC=local'  -ResolveGUIDs  -Verbos

```

查找ACEs：

```bash
Invoke-ACLScanner -ResolveGUIDs

```

通过特定路径查找ACLs

```bash
Get-PathAcl -Path  "\\CASC-DC1.cascade.local\\sysvol"

```

查找有权限修改ACL的用户

```bash
Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name}

```