Zugriff auf AD-Objekte oder -Container

Erforderliche Benutzerrolle: Active Directory-Domänenadministrator

Hinweis: Dieser Abschnitt gilt nur für eine Tenable Identity Exposure-Lizenz für das Modul „Indicators of Exposure“.

Tenable Identity Exposure erfordert für diese Sicherheitsüberwachung keine Administratorrechte.

Voraussetzung für diesen Ansatz ist, dass das von Tenable Identity Exposure verwendete Benutzerkonto alle in einer Domäne gespeicherten Active Directory-Objekte (einschließlich Benutzerkonten, Organisationseinheiten, Gruppen usw.) lesen kann.

Standardmäßig haben die meisten Objekte Lesezugriff für die vom Tenable Identity Exposure-Dienstkonto verwendeten Gruppendomänenbenutzer. Sie müssen einige Container jedoch manuell konfigurieren, um Lesezugriff für das Tenable Identity Exposure-Benutzerkonto zu gewähren.

Die folgende Tabelle enthält die Active Directory-Objekte und -Container, deren Lesezugriff auf die einzelnen von Tenable Identity Exposure überwachten Domänen manuell konfiguriert werden muss.

Speicherort des Containers

Beschreibung

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

Ein Container, der gelöschte Objekte hostet.

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(Optional) Ein Container, der Passworteinstellungsobjekte hostet.

So erteilen Sie Zugriff auf AD-Objekte oder -Container:

  • Führen Sie in der PowerShell-Konsole des Domänencontrollers die folgenden Befehle aus, um Zugriff auf Active Directory-Objekte oder -Container zu erteilen:

    Hinweis: Sie müssen diese Befehle in jeder Domäne ausführen, die von Tenable Identity Exposure überwacht wird.
    Hinweis: Wenn Sie den Befehl takeownership verwenden, wird der Besitzer eines Containers neu zugewiesen. Dies ermöglicht es dem aktuellen Benutzer, Berechtigungen zu ändern, die zuvor zu restriktiv waren.
    Wenn der aktuelle Benutzer zu den von Tenable empfohlenen Gruppen gehört, wie z. B. Domänenadministratoren oder Enterprise-Administratoren, wird eine dieser Gruppen der neue Besitzer. Dies wird als sichere Zuweisung der Besitzrechte betrachtet.
    Wenn der Benutzer jedoch nicht in einer dieser Gruppen ist, wird das Benutzerkonto selbst zum neuen Besitzer. Dies ist keine empfohlene Vorgehensweise und Sie müssen den Besitzer manuell auf eine sicherere Gruppe zurücksetzen.

    Wenn der aktuelle Benutzer zu den empfohlenen Gruppen gehört, wie z. B. Domänenadministratoren oder Enterprise-Administratoren, wird eine dieser Gruppen der neue Besitzer. Dies wird als sichere Zuweisung der Besitzrechte betrachtet.

    Wenn der Benutzer jedoch *nicht* in einer dieser Gruppen ist, wird das Benutzerkonto selbst zum neuen Besitzer. Dies ist keine empfohlene Vorgehensweise und Sie müssen den Besitzer manuell auf eine sicherere Gruppe zurücksetzen.

    Kopieren 
    #Set Service Account
    $serviceAccount = "<SERVICE_ACCOUNT>"

    #Don't Edit after here
    $domain = Get-ADDomain
    @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
        & dsacls $_ /takeownership
        & dsacls $_ /g "$($serviceAccount):LCRP" /I:T
    }
    wobei sich <__SERVICE_ACCOUNT__> auf das von Tenable Identity Exposure verwendete Dienstkonto bezieht.

Wenn PowerShell nicht verfügbar ist, diese Befehle alternativ auch für jeden Container ausführen:

Kopieren 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

wobei Folgendes gilt:

  • <__CONTAINER__> bezieht sich auf den Container, der Zugriff benötigt.

  • <__SERVICE_ACCOUNT__> bezieht sich auf das von Tenable Identity Exposure verwendete Dienstkonto.