存取 AD 物件或容器

注意:本節僅適用於曝險指標模組的 Tenable Identity Exposure 授權。

Tenable Identity Exposure 不需要系統管理權限即可實現安全性監控。

此方法依賴 Tenable Identity Exposure 用來讀取網域中儲存的所有 Active Directory 物件的使用者帳戶的功能 (包括使用者帳戶、組織單位、群組等)。

根據預設,大多數物件對於 Tenable Identity Exposure 服務帳戶使用的網域使用者群組具有讀取權限。但是,您必須手動設定某些容器,以允許 Tenable Identity Exposure 使用者帳戶的讀取權限。

下表詳述了需要在 Tenable Identity Exposure 監控的每個網域上手動設定讀取權限的 Active Directory 物件和容器。

容器的位置

說明

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

主控已刪除物件的容器。

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(選用) 主控密碼設定物件的容器。

如要授予對 AD 物件或容器的存取權:

  • 在網域控制器的命令列介面中,執行下列命令以授予對 Active Directory 物件或容器的存取權:

    注意:您必須在 Tenable Identity Exposure 監控的每個網域上執行此命令。
    複製
    dsacls "<__CONTAINER__>" /takeownership
    dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

    其中:

    • <__CONTAINER__> 是指需要存取權的容器。
    • <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。