访问 AD 对象或容器

注意:此部分仅适用于风险暴露指标模块的 Tenable Identity Exposure 许可证。

Tenable Identity Exposure 不需要管理权限即可实现安全监控。

此方法依赖于 Tenable Identity Exposure 读取域中存储的所有 Active Directory 对象(包括用户帐户、组织单位、组等)时所用用户帐户的能力。

默认情况下,大多数对象对 Tenable Identity Exposure 服务帐户使用的组 Domain Users 具有读取访问权限。但是,您必须手动配置某些容器以允许 Tenable Identity Exposure 用户帐户进行读取访问。

下表详细说明了需要手动配置以便在 Tenable Identity Exposure 监控的每个域上进行读取访问的 Active Directory 对象和容器。

容器的位置

描述

CN=Deleted Objects,DC=<DOMAIN> ,DC=<TLD>

托管已删除对象的容器。

CN=Password Settings Container,CN=System, DC=<DOMAIN> ,DC=<TLD>

(可选)托管密码设置对象的容器。

若要授予对 AD 对象或容器的访问权限:

  • 在域控制器的 PowerShell 控制台中,运行以下命令以授予对 Active Directory 对象或容器的访问权限:

    注意:您必须对 Tenable Identity Exposure 监控的每个域运行这些命令。
    复制 
    #Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
    其中 <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 所使用的服务帐户。

或者,如果 PowerShell 不可用,您还可以对每个容器执行下列这些命令:

复制 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

其中:

  • <__CONTAINER__> 指的是需要访问权限的容器。

  • <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服务帐户。