存取 AD 物件或容器

注意:本節僅適用於曝險指標模組的 Tenable Identity Exposure 授權。

Tenable Identity Exposure 不需要系統管理權限即可實現安全性監控。

此方法依賴 Tenable Identity Exposure 用來讀取網域中儲存的所有 Active Directory 物件的使用者帳戶的功能 (包括使用者帳戶、組織單位、群組等)。

根據預設,大多數物件對於 Tenable Identity Exposure 服務帳戶使用的網域使用者群組具有讀取權限。但是,您必須手動設定某些容器,以允許 Tenable Identity Exposure 使用者帳戶的讀取權限。

下表詳述了需要在 Tenable Identity Exposure 監控的每個網域上手動設定讀取權限的 Active Directory 物件和容器。

容器的位置

說明

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

主控已刪除物件的容器。

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(選用) 主控密碼設定物件的容器。

如要授予 AD 物件和容器的存取權:

  • 在網域控制器的 PowerShell 主控台中執行下列命令,即可授予 Active Directory 物件或容器的存取權:

    注意:您必須在 Tenable Identity Exposure 監控的每個網域上執行這些命令。
    複製 
    #Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
    <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。

或者,如果無法使用 PowerShell,您也可以針對每個容器執行下列命令:

複製 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

其中:

  • <__CONTAINER__> 是指需要存取權的容器。

  • <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。