特權分析的存取權

選用的「特權分析」功能需要系統管理權限。您必須為 Tenable Identity Exposure 使用的服務帳戶指派權限。

如需詳細資訊,請參閱特權分析

注意:您必須在啟用「特權分析」的每個網域上指派權限。

如要使用命令列指派權限:

要求:如要指派權限,您需要具有網域管理員權限或同等權限的帳戶。

  • 在網域控制器的命令列介面中執行下列命令,以新增兩項權限:

    複製 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • 其中:

  • <__DOMAIN_ROOT__> 指的是網域 root 的辨別名稱。範例:DC=<DOMAIN>,DC=<TLD>

  • <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服務帳戶。範例:DOMAIN\tenablead

如要使用圖形化使用者介面指派權限:

  1. 從 Windows 的「開始」功能表中開啟「Active Directory 使用者和電腦」。

  2. 從「檢視」功能表中選取「進階功能」。

  3. 右鍵按一下網域 root 並選取「屬性」。

    網域 root 的屬性窗格會隨即開啟。

  4. 按一下「安全性」索引標籤,然後按一下「新增」。

  5. 尋找 Tenable Identity Exposure 服務帳戶:

    注意:在具有多個網域環境的樹系中,服務帳戶可能位於不同的 Active Directory 網域中。

  6. 向下捲動清單並取消選取預設的所有權限。

  7. 在「允許」欄中,選取「複製目錄變更」和「複製全部目錄」的權限。

  8. 按一下「確定」。

重要注意事項

Tenable Identity Exposure 中每個樹系只需要一個服務帳戶,因此當您在一個網域中指派權限時,可能需要從另一個網域搜尋服務帳戶
您必須在網域 root 層級指派額外的權限。Active Directory 不支援指派給組織單位或特定使用者的權限 (例如將「特權分析」限制為 OU 或使用者),因此這不會產生任何影響。
這些權限授予 Tenable Identity Exposure 服務帳戶遠高於 Active Directory 網域的權限。您必須將其視為特權帳戶 (第 0 層),並給予與網域管理員帳戶相似的保護。如需完整的程序,請參閱保護服務帳戶