Zugriff auf AD-Objekte oder -Container

Hinweis: Dieser Abschnitt gilt nur für eine Tenable Identity Exposure-Lizenz für das Modul „Indicators of Exposure“.

Tenable Identity Exposure erfordert für diese Sicherheitsüberwachung keine Administratorrechte.

Voraussetzung für diesen Ansatz ist, dass das von Tenable Identity Exposure verwendete Benutzerkonto alle in einer Domäne gespeicherten Active Directory-Objekte (einschließlich Benutzerkonten, Organisationseinheiten, Gruppen usw.) lesen kann.

Standardmäßig haben die meisten Objekte Lesezugriff für die vom Tenable Identity Exposure-Dienstkonto verwendeten Gruppendomänenbenutzer. Sie müssen einige Container jedoch manuell konfigurieren, um Lesezugriff für das Tenable Identity Exposure-Benutzerkonto zu gewähren.

Die folgende Tabelle enthält die Active Directory-Objekte und -Container, deren Lesezugriff auf die einzelnen von Tenable Identity Exposure überwachten Domänen manuell konfiguriert werden muss.

Speicherort des Containers

Beschreibung

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

Ein Container, der gelöschte Objekte hostet.

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(Optional) Ein Container, der Passworteinstellungsobjekte hostet.

So erteilen Sie Zugriff auf AD-Objekte oder -Container:

  • Führen Sie in der Befehlszeilenschnittstelle des Domänencontrollers den folgenden Befehl aus, um Zugriff auf Active Directory-Objekte oder -Container zu erteilen:

    Hinweis: Sie müssen diesen Befehl für jede von Tenable Identity Exposure überwachte Domäne ausführen.
    Kopieren
    dsacls "<__CONTAINER__>" /takeownership
    dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

    Bedeutung:

    • <__CONTAINER__> bezieht sich auf den Container, der Zugriff benötigt.
    • <__SERVICE_ACCOUNT__> bezieht sich auf das von Tenable Identity Exposure verwendete Dienstkonto.