Gesamtstrukturen

1. Klicken Sie in Tenable Identity Exposure auf System > Gesamtstrukturverwaltung.

2. Klicken Sie auf der rechten Seite auf Gesamtstruktur hinzufügen.

   Der Fensterbereich „Gesamtstruktur hinzufügen“ wird angezeigt.

3. Geben Sie im Feld Name den Namen für die Gesamtstruktur ein.

4. Geben Sie im Abschnitt Konto Folgendes für das Dienstkonto an, das Tenable Identity Exposure verwendet:
   • Login: Geben Sie den Namen des Dienstkontos ein.
   Format: Benutzerprinzipalname, wie [email protected] (empfohlen für Kompatibilität mit Kerberos-Authentifizierung) oder NetBIOS, wie DomainNetBIOSName\SamAccountName.
   • Passwort: Geben Sie das Passwort für das Dienstkonto ein.
Hinweis: Wenn Sie das AD-Dienstkonto von Tenable Identity Exposure als Mitglied der Gruppe „Geschützte Benutzer“ festlegen müssen, stellen Sie sicher, dass Ihre Tenable Identity Exposure-Konfiguration Kerberos-Authentifizierung unterstützt, da geschützte Benutzer die NTLM-Authentifizierung nicht verwenden können.

5. Klicken Sie auf Hinzufügen.

   Eine Meldung bestätigt das Hinzufügen der neuen Gesamtstruktur.

1. Klicken Sie in Tenable Identity Exposure auf System > Gesamtstrukturverwaltung.

2. Fahren Sie in der Liste der Gesamtstrukturen mit dem Mauszeiger über die Gesamtstruktur, die Sie bearbeiten möchten, und klicken Sie rechts auf das Symbol .

   Der Fensterbereich Gesamtstruktur bearbeiten wird angezeigt.

3. Ändern Sie diese nach Bedarf.

4. Klicken Sie auf Bearbeiten.

   In einer Meldung werden Sie informiert, dass Tenable Identity Exposure die Gesamtstruktur aktualisiert hat.

Sie können die Einstellungen der Benutzerkontensteuerung mit dem Editor für lokale Sicherheitsrichtlinien oder dem Gruppenrichtlinien-Editor von Windows mit den entsprechenden Administratorrechten ändern.

• Navigieren Sie im Editor zu Lokale Richtlinien -> Sicherheitsoptionen, um die folgenden Einstellungen zu suchen und zu konfigurieren: (Dies kann je nach Windows-Version variieren.)

  • „Netzwerkzugriff: Speicherung von Kennwörtern und Anmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen“: Legen Sie die Option auf Aktiviert fest.

  • „Konten: Kerberos-Vorauthentifizierung nicht erforderlich“: Legen Sie diese Option auf Deaktiviert fest.

  • „Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren“: Stellen Sie sicher, dass die Option „Kerberos DES-Verschlüsselungstypen für diese Kontooption“ nicht aktiviert ist.

  • „Konten: Maximales Kennwortalter“: Legen Sie den Ablaufzeitraum des Passworts fest (z. B. 30, 60 oder 90 Tage, damit Folgendes gilt: PasswordNeverExpires = FALSE).

  • „Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken“: Legen Sie die Option auf Deaktiviert fest.

  • „Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen (für den Fall, dass der Domänencontroller nicht verfügbar ist)“: Legen Sie den gewünschten Wert fest, z. B. „10“, um Benutzern das Ändern ihrer Passwörter zu ermöglichen.

• Öffnen Sie PowerShell mit den entsprechenden Administratorrechten auf einem Computer, der AD hostet, und führen Sie den folgenden Befehl aus:

Kopieren

Set-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false

Hierbei ist <AD_ACCOUNT> der Name des Active Directory-Kontos, das Sie ändern möchten.