访问 AD 对象或容器
所需用户角色:Active Directory 域管理员
Tenable Identity Exposure 不需要管理权限即可实现安全监控。
此方法依赖于 Tenable Identity Exposure 读取域中存储的所有 Active Directory 对象(包括用户帐户、组织单位、组等)时所用用户帐户的能力。
默认情况下,大多数对象对 Tenable Identity Exposure 服务帐户使用的组 Domain Users 具有读取访问权限。但是,您必须手动配置某些容器以允许 Tenable Identity Exposure 用户帐户进行读取访问。
下表详细说明了需要手动配置以便在 Tenable Identity Exposure 监控的每个域上进行读取访问的 Active Directory 对象和容器。
|
容器的位置 |
描述 |
|---|---|
|
CN=Deleted Objects,DC=<DOMAIN> ,DC=<TLD> |
托管已删除对象的容器。 |
|
CN=Password Settings Container,CN=System, DC=<DOMAIN> ,DC=<TLD> |
(可选)托管密码设置对象的容器。 |
若要授予对 AD 对象或容器的访问权限:
-
在域控制器的 PowerShell 控制台中,运行以下命令以授予对 Active Directory 对象或容器的访问权限:
注意:您必须在 Tenable Identity Exposure 监控的每个域上运行这些命令。注意:当您使用 takeownership 命令时,系统会重新分配容器的所有权。这允许当前用户修改之前限制过多的权限。
如果当前用户属于 Tenable 推荐的组(例如 Domain Admins 或 Enterprise Admins),则这些组中的一个组将成为新所有者。这被视为安全的所有权分配。
但是,如果用户 不在 这些组中之一,则用户帐户本身将成为新的所有者。建议不要这样做,并且必须手动将所有权重置为更安全的组。如果当前用户属于建议的组(例如 Domain Admins 或 Enterprise Admins),这些组中的一个将成为新的所有者。这被视为安全的所有权分配。
但是,如果用户*不*位于这些组之一中,则用户帐户本身将成为新的所有者。建议不要这样做,并且必须手动将所有权重置为更安全的组。
复制其中 <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服务帐户。#Set Service Account
$serviceAccount = "<SERVICE_ACCOUNT>"
#Don't Edit after here
$domain = Get-ADDomain
@($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
& dsacls $_ /takeownership
& dsacls $_ /g "$($serviceAccount):LCRP" /I:T
}
或者,如果 PowerShell 不可用,您还可以对每个容器执行下列这些命令:
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T
其中:
- <__CONTAINER__> 指的是需要访问权限的容器。
-
<__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服务帐户。