樹系

1. 在 Tenable Identity Exposure 中，按一下「系統」>「樹系管理」。

2. 按一下右側的「新增樹系」。

   「新增樹系」窗格會隨即顯示。

3. 在「名稱」方塊中輸入樹系的名稱。

4. 在「帳戶」區段中，為 Tenable Identity Exposure 使用的服務帳戶提供下列內容：
   • 登入：輸入服務帳戶的名稱。
   格式：使用主體名稱，例如「[email protected]」(與 Kerberos 驗證 相容時建議使用)，或使用 NetBIOS，例如「DomainNetBIOSName\SamAccountName」。
   • 密碼：輸入服務帳戶的密碼。
注意：如果您必須將 Tenable Identity Exposure 的 AD 服務帳戶設定為受保護的使用者群組成員，請確認您的 Tenable Identity Exposure 設定支援 Kerberos 驗證，因為受保護的使用者無法使用 NTLM 驗證。

5. 按一下「新增」。

   系統會顯示一則訊息，確認已新增樹系。

1. 在 Tenable Identity Exposure 中，按一下「系統」>「樹系管理」。

2. 在樹系清單中，將游標停留在要修改的樹系上，按一下右側的 圖示。

   「編輯樹系」窗格會隨即顯示。

3. 視需要進行修改。

4. 按一下「編輯」。

   系統會顯示一則訊息，確認 Tenable Identity Exposure 已更新樹系。

您可以透過適當的系統管理權限，使用 Windows 的本機安全性原則編輯器或群組原則編輯器修改使用者帳戶控制設定。

• 在編輯器中，導覽至「本機原則」->「安全性選項」，找到並設定下列設定 (可能會因您的 Windows 版本而有所不同)：

  • 「網路存取：不允許儲存網路驗證的密碼和憑證」：將其設定為「啟用」。

  • 「帳戶：不需要 Kerberos 預先驗證」：將其設定為「停用」。

  • 「網路安全性：設定 Kerberos 允許的加密類型」：確認 未選取「針對此帳戶使用 Kerberos DES 加密類型」選項。

  • 「帳戶：密碼最長使用期限」：設定密碼到期期間 (例如，30、60 或 90 天，使 PasswordNeverExpires = FALSE)。

  • 「帳戶：將本機帳戶使用空白密碼限制為僅限主控台登入」：將其設定為「停用」。

  • 「互動式登入：要快取的先前登入次數 (在網域控制器無法使用的情況下)」：設定所需的值，例如「10」以允許使用者變更其密碼。

• 在託管 AD 的電腦上，以適當的系統管理權限開啟 PowerShell 並執行下列命令：

複製

Set-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false

其中 <AD_ACCOUNT> 是您要修改的 Active Directory 帳戶名稱。