Zugriff auf „Privilegierte Analyse“

Die optionale Funktion „Privilegierte Analyse“ erfordert Administratorrechte. Sie müssen Berechtigungen für das von Tenable Identity Exposure verwendete Dienstkonto zuweisen.

Weitere Informationen finden Sie unter Privilegierte Analyse.

Hinweis: Sie müssen Berechtigungen in jeder Domäne zuweisen, in der Sie die Funktion „Privilegierte Analyse“ aktivieren.
Anforderung: Zum Zuweisen von Berechtigungen benötigen Sie ein Konto mit Domänenadministrator- oder gleichwertigen Berechtigungen.

  • Führen Sie in der Befehlszeilenschnittstelle des Domänencontrollers den folgenden Befehl aus, um beide Berechtigungen hinzuzufügen:

    Kopieren 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • Bedeutung:

  • <__DOMAIN_ROOT__> bezieht sich auf den Distinguished Name des Domänenstamms. Beispiel: DC=<DOMAIN>,DC=<TLD>

  • <__SERVICE_ACCOUNT__> bezieht sich auf das von Tenable Identity Exposure verwendete Dienstkonto. Beispiel: DOMAIN\tenablead.

  1. Rufen Sie über das Menü Start in Windows das Tool Active Directory-Benutzer und -Computer auf.

  2. Wählen Sie im Menü Ansicht die Option Erweiterte Funktionen aus.

  3. Klicken Sie mit der rechten Maustaste auf den Domänenstamm und wählen Sie Eigenschaften aus.

    Das Eigenschaftenfenster des Domänenstamms wird geöffnet.

  4. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen.

  5. Suchen Sie das Tenable Identity Exposure-Dienstkonto:

    Hinweis: In einer Gesamtstruktur mit mehreren Domänen befindet sich das Dienstkonto möglicherweise in einer anderen Active Directory-Domäne.

  6. Scrollen Sie in der Liste nach unten und heben Sie die Auswahl aller standardmäßig aktivierten Berechtigungen auf.

  7. Wählen Sie in der Spalte Zulassen die Berechtigungen Verzeichnisänderungen replizieren und Alle Verzeichnisänderungen replizieren aus.

  8. Klicken Sie auf OK.

Wichtige Hinweise

Tenable Identity Exposure erfordert nur ein Dienstkonto pro Gesamtstruktur. Daher müssen Sie beim Zuweisen von Berechtigungen in einer Domäne möglicherweise nach dem Dienstkonto einer anderen Domäne suchen.
Sie müssen zusätzliche Berechtigungen auf Ebene des Domänenstamms zuweisen. Active Directory unterstützt keine Berechtigungen, die einer Organisationseinheit oder einem bestimmten Benutzer zugewiesen sind – z. B. um die Funktion „Privilegierte Analyse“ auf die OU oder den Benutzer zu beschränken. Diese haben daher keine Wirkung.
Diese Berechtigungen geben dem Tenable Identity Exposure-Dienstkonto sehr viel mehr Kontrolle über die Active Directory-Domäne. Sie müssen es daher als privilegiertes Konto (Tier 0) betrachten und ähnlich schützen wie ein Domänenadministratorkonto. Das vollständige Verfahren finden Sie unter Schutz von Dienstkonten.