Zugriff auf AD-Objekte oder -Container
Tenable Identity Exposure erfordert für diese Sicherheitsüberwachung keine Administratorrechte.
Voraussetzung für diesen Ansatz ist, dass das von Tenable Identity Exposure verwendete Benutzerkonto alle in einer Domäne gespeicherten Active Directory-Objekte (einschließlich Benutzerkonten, Organisationseinheiten, Gruppen usw.) lesen kann.
Standardmäßig haben die meisten Objekte Lesezugriff für die vom Tenable Identity Exposure-Dienstkonto verwendeten Gruppendomänenbenutzer. Sie müssen einige Container jedoch manuell konfigurieren, um Lesezugriff für das Tenable Identity Exposure-Benutzerkonto zu gewähren.
Die folgende Tabelle enthält die Active Directory-Objekte und -Container, deren Lesezugriff auf die einzelnen von Tenable Identity Exposure überwachten Domänen manuell konfiguriert werden muss.
Speicherort des Containers |
Beschreibung |
---|---|
CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD> |
Ein Container, der gelöschte Objekte hostet. |
CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD> |
(Optional) Ein Container, der Passworteinstellungsobjekte hostet. |
So erteilen Sie Zugriff auf AD-Objekte oder -Container:
-
Führen Sie in der PowerShell-Konsole des Domänencontrollers die folgenden Befehle aus, um Zugriff auf Active Directory-Objekte oder -Container zu erteilen:
Hinweis: Sie müssen diese Befehle für jede von Tenable Identity Exposure überwachte Domäne ausführen.Kopierenwobei sich <__SERVICE_ACCOUNT__> auf das von Tenable Identity Exposure verwendete Dienstkonto bezieht.#Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
Wenn PowerShell nicht verfügbar ist, diese Befehle alternativ auch für jeden Container ausführen:
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T
wobei Folgendes gilt:
- <__CONTAINER__> bezieht sich auf den Container, der Zugriff benötigt.
-
<__SERVICE_ACCOUNT__> bezieht sich auf das von Tenable Identity Exposure verwendete Dienstkonto.