針對標準使用者設定的 AdminCount 屬性

使用者帳戶上的 adminCount 屬性表示系統管理群組中的過去成員資格，其在帳戶離開群組時不會重設。因此，即使舊的系統管理帳戶已有此屬性，其仍會封鎖 Active Directory 權限的繼承。此屬性原用途雖為保護管理員，但卻可能會產生難以處理的權限問題。

此中等曝險指標 (IoE) 只會報告具有此屬性的作用中使用者帳戶和群組，並排除具有正當成員且 adminCount 屬性設為 1 的特權群組。

如要修復標準使用者上設定的 AdminCount 屬性曝險指標 (IoE) 中的異常物件：

1. 在 Tenable Identity Exposure 中，按一下導覽窗格中的「曝險指標」以開啟。

   根據預設，Tenable Identity Exposure 僅會顯示包含異常物件的曝險指標 (IoE)。

2. 按一下標準使用者上設定的 AdminCount 屬性曝險指標 (IoE) 的圖塊。

   

   「指標詳細資料」窗格會隨即開啟。

3. 將游標停留在異常物件上並按一下即可顯示詳細資料，記下網域名稱和帳戶(在此範例中：網域為 OLYMPUS.CORP，標準帳戶為 unpriv-usr)。

   

4. 在 Remote Desktop Manager (或類似工具) 中，找到網域名稱並導覽至 Tenable Identity Exposure 標記的使用者和帳戶。

   必要權限：您必須擁有網域的管理員帳戶才能執行程序。

   

5. 按一下帳戶名稱以開啟「內容」對話方塊，然後選取「屬性編輯器」索引標籤。

6. 在屬性清單中按一下 adminCount 以開啟「整數屬性編輯器」對話方塊。

   

7. 在對話方塊中按一下「清除」和「確定」。

   

8. 在 Tenable Identity Exposure 中，返回「指標詳細資料」窗格並重新整理頁面。

   清單中不會再出現異常物件。