Delegation

Resetear la contraseña

🧑‍💻 Delegación de control en Active Directory

¿Qué es la delegación? La delegación permite asignar a ciertos usuarios permisos específicos sobre Unidades Organizativas (OUs), sin necesidad de que tengan privilegios de administrador del dominio. Es útil, por ejemplo, para que el personal de soporte técnico realice tareas administrativas limitadas.

Caso práctico: Queremos que Phillip, encargado de soporte IT, pueda restablecer contraseñas de los usuarios en las OUs: Sales, Marketing y Management.

✅ Pasos para delegar control (ejemplo con la OU Sales):

  1. En Active Directory Users and Computers, haz clic derecho sobre la OU SalesDelegate Control.

  2. En el asistente, añade el usuario phillip (usa Check Names para autocompletar).

  3. En las tareas a delegar, selecciona: ✔ Reset user passwords and force password change at next logon

  4. Haz clic en NextFinish.

A partir de ahora, Phillip podrá restablecer contraseñas de los usuarios dentro de esa OU.

🔐 Repite el proceso si deseas delegar también en las OUs Marketing y Management.

EJEMPLO GRAFICO:

.

🛠 Opciones del asistente "Delegation of Control Wizard"

Opción
¿Qué permite hacer?

Reset user passwords and force password change at next logon

Permite restablecer contraseñas de usuarios y forzar que cambien la contraseña al iniciar sesión.

Create, delete, and manage user accounts

Permite crear, eliminar y modificar cuentas de usuario.

Read all user information

Permite ver toda la información de los usuarios (atributos como nombre, correo, teléfono, etc.).

Create, delete and manage groups

Permite gestionar grupos: crearlos, eliminarlos y modificarlos.

Modify the membership of a group

Permite agregar o quitar miembros de un grupo existente.

Manage Group Policy links

Permite enlazar o desenlazar GPOs (Group Policy Objects) a la OU.

Generate Resultant Set of Policy (Planning)

Permite planificar políticas de grupo usando RSOP (resultado esperado de las políticas aplicadas).

Bien ahora como atacante:

🎯 Objetivo como atacante:

Usar la cuenta de Phillip para cambiar la contraseña de un usuario dentro de la OU Sales, ya que se delegaron esos permisos.

📌 Prerrequisitos:

  • Conocer las credenciales de Phillip:

    • Usuario: phillip

    • Contraseña: Claire2008

  • Tener acceso vía RDP o haber iniciado sesión en el entorno con Phillip.

  • Saber qué usuarios están dentro de la OU Sales.

🛠️ Cambio de contraseña vía PowerShell como usuario delegado (Phillip)

Una vez que hemos iniciado sesión como Phillip, podemos cambiar la contraseña de un usuario en la OU Sales usando PowerShell, gracias a los permisos delegados.

1. 🪟 Abrir PowerShell como Phillip

2. 🔐 Ejecutar el siguiente comando para restablecer la contraseña de sophie:

Set-ADAccountPassword sophie -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

Cuando se te pida, escribe una nueva contraseña segura, por ejemplo:

New Password: admin123

✅ Si el comando es exitoso, se mostrará un mensaje indicando que la acción fue completada correctamente.

3. 📌 Forzar el cambio de contraseña al iniciar sesión (opcional pero recomendable):

Set-ADUser -Identity sophie -ChangePasswordAtLogon $true -Verbose

Esto obligará a Sophie a cambiar su contraseña la próxima vez que inicie sesión.

✅ Resultado esperado:

Ahora puedes iniciar sesión como Sophie usando la nueva contraseña (admin123) y comprobar que el ataque funcionó correctamente.

Entramos:

PreviousComponentes clave de Active Directory (AD DS)NextManaging Computers in AD

Last updated