Zugriff auf AD-Objekte oder -Container

Hinweis: Dieser Abschnitt gilt nur für eine Tenable Identity Exposure-Lizenz für das Modul „Indicators of Exposure“.

Tenable Identity Exposure erfordert für diese Sicherheitsüberwachung keine Administratorrechte.

Voraussetzung für diesen Ansatz ist, dass das von Tenable Identity Exposure verwendete Benutzerkonto alle in einer Domäne gespeicherten Active Directory-Objekte (einschließlich Benutzerkonten, Organisationseinheiten, Gruppen usw.) lesen kann.

Standardmäßig haben die meisten Objekte Lesezugriff für die vom Tenable Identity Exposure-Dienstkonto verwendeten Gruppendomänenbenutzer. Sie müssen einige Container jedoch manuell konfigurieren, um Lesezugriff für das Tenable Identity Exposure-Benutzerkonto zu gewähren.

Die folgende Tabelle enthält die Active Directory-Objekte und -Container, deren Lesezugriff auf die einzelnen von Tenable Identity Exposure überwachten Domänen manuell konfiguriert werden muss.

Speicherort des Containers

Beschreibung

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

Ein Container, der gelöschte Objekte hostet.

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(Optional) Ein Container, der Passworteinstellungsobjekte hostet.

So erteilen Sie Zugriff auf AD-Objekte oder -Container:

  • Führen Sie in der PowerShell-Konsole des Domänencontrollers die folgenden Befehle aus, um Zugriff auf Active Directory-Objekte oder -Container zu erteilen:

    Hinweis: Sie müssen diese Befehle für jede von Tenable Identity Exposure überwachte Domäne ausführen.
    Kopieren
    #Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
    wobei sich <__SERVICE_ACCOUNT__> auf das von Tenable Identity Exposure verwendete Dienstkonto bezieht.

Wenn PowerShell nicht verfügbar ist, diese Befehle alternativ auch für jeden Container ausführen:

Kopieren
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

wobei Folgendes gilt:

  • <__CONTAINER__> bezieht sich auf den Container, der Zugriff benötigt.
  • <__SERVICE_ACCOUNT__> bezieht sich auf das von Tenable Identity Exposure verwendete Dienstkonto.