Active Directory es un servicio de Windows Server que maneja el sistema de autenticación, autorización y políticas de seguridad en un dominio. Se usa al crear políticas, grupos y grupos de seguridad con el fin de clasificar los permisos del usuario; es decir, restringiendo los recursos que no son necesarios para el usuario o que no opta por la autorización de estos. De aquí provienen las herencias de permisos con el ánimo de simplificar pasos repetidos y evitar el error humano; también, al organizar los perfiles de usuarios acorde a su rol dentro de la empresa.
Las herencias de permisos pueden ser consideradas, entonces, un arma de doble filo dado que, si el administrador no tiene ningún tipo de organización acerca del dominio, es posible que recurra a asignaciones de permisos adicionales a usuarios que no requieren de estos. Este típico error es algo que los ciberdelincuentes explotan a la hora de perpetrar sus ciberataques y hacerse de permisos de administrador –Domain Admin-. Una herencia de permisos puede ocurrir cuando el administrador asigna permisos especiales –Group Policy Object- y/o agregando grupos de seguridad que pertenecen a usuarios clave -permisos administradores- a los usuarios comunes.
Estos tipos de falla de lógica en el Active Directory pueden ser identificados a través de una organización correcta dentro del dominio; también, realizando una prueba de intrusión interna. Aunque debemos tomar en cuenta que, si no existe una organización anterior sobre políticas de seguridad, una prueba de intrusión interna no sería lo ideal. En ese caso, si no existe una organización, es mejor realizar una auditoría a las políticas de seguridad basado en Windows Security Baseline Active Directory para la versión del servidor del dominio de control primordial.