針對標準使用者設定的 AdminCount 屬性

使用者帳戶上的 adminCount 屬性表示系統管理群組中的過去成員資格,其在帳戶離開群組時不會重設。因此,即使舊的系統管理帳戶已有此屬性,其仍會封鎖 Active Directory 權限的繼承。此屬性原用途雖為保護管理員,但卻可能會產生難以處理的權限問題。

此中等曝險指標 (IoE) 只會報告具有此屬性的作用中使用者帳戶和群組,並排除具有正當成員且 adminCount 屬性設為 1 的特權群組。

如要修復標準使用者上設定的 AdminCount 屬性曝險指標 (IoE) 中的異常物件:

  1. Tenable Identity Exposure 中,按一下導覽窗格中的「曝險指標」以開啟。

    根據預設,Tenable Identity Exposure 僅會顯示包含異常物件的曝險指標 (IoE)。

  2. 按一下標準使用者上設定的 AdminCount 屬性曝險指標 (IoE) 的圖塊。

    指標詳細資料」窗格會隨即開啟。

  3. 將游標停留在異常物件上並按一下即可顯示詳細資料,記下網域名稱和帳戶 (在此範例中:網域為 OLYMPUS.CORP,標準帳戶為 unpriv-usr)。

  4. 在 Remote Desktop Manager (或類似工具) 中,找到網域名稱並導覽至 Tenable Identity Exposure 標記的使用者和帳戶。

    必要權限:您必須擁有網域的管理員帳戶才能執行程序。

  5. 按一下帳戶名稱以開啟「內容」對話方塊,然後選取「屬性編輯器」索引標籤。

  6. 在屬性清單中按一下 adminCount 以開啟「整數屬性編輯器」對話方塊。

  7. 在對話方塊中按一下「清除」和「確定」。

  8. Tenable Identity Exposure 中,返回「指標詳細資料」窗格並重新整理頁面。

    清單中不會再出現異常物件。