存取 AD 物件或容器
所需使用者角色:Active Directory 網域管理員
Tenable Identity Exposure 不需要系統管理權限即可實現安全性監控。
此方法依賴 Tenable Identity Exposure 用來讀取網域中儲存的所有 Active Directory 物件的使用者帳戶的功能 (包括使用者帳戶、組織單位、群組等)。
根據預設,大多數物件對於 Tenable Identity Exposure 服務帳戶使用的網域使用者群組具有讀取權限。但是,您必須手動設定某些容器,以允許 Tenable Identity Exposure 使用者帳戶的讀取權限。
下表詳述了需要在 Tenable Identity Exposure 監控的每個網域上手動設定讀取權限的 Active Directory 物件和容器。
|
容器的位置 |
說明 |
|---|---|
|
CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD> |
主控已刪除物件的容器。 |
|
CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD> |
(選用) 主控密碼設定物件的容器。 |
如要授予 AD 物件和容器的存取權:
-
在網域控制器的 PowerShell 主控台中,執行下列命令以授予對 Active Directory 物件或容器的存取權:
注意:您必須在 Tenable Identity Exposure 監控的每個網域上執行這些命令。注意:當您使用 takeownership 命令時,它會重新指派容器的擁有權。這可讓目前的使用者修改先前過於嚴格的權限。
如果目前使用者屬於 Tenable 建議的群組,例如網域管理員或企業管理員,則其中一個群組將成為新的擁有者。這被視為安全的擁有權指派。
但是,如果使用者 不在 這些群組之一中,則使用者帳戶本身會成為新的所有者。不建議這麼做而且您必須手動將擁有權重設為更安全的群組。如果目前使用者屬於建議的群組 (例如網域管理員或企業管理員)則這些群組中的一個將成為新的擁有者。這被視為安全的擁有權指派。
不過,如果使用者 *不* 在這些群組之一中,則使用者帳戶本身會成為新的擁有者。不建議這麼做而且您必須手動將擁有權重設為更安全的群組。
複製其中 <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。#Set Service Account
$serviceAccount = "<SERVICE_ACCOUNT>"
#Don't Edit after here
$domain = Get-ADDomain
@($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
& dsacls $_ /takeownership
& dsacls $_ /g "$($serviceAccount):LCRP" /I:T
}
或者,如果無法使用 PowerShell,您也可以針對每個容器執行下列命令:
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T
其中:
- <__CONTAINER__> 是指需要存取權的容器。
-
<__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。