特权分析的访问权限

可选的特权分析功能需要管理权限。您必须为 Tenable Identity Exposure 使用的服务帐户分配权限。

有关更多信息,请参阅“特权分析”。

注意:您必须在每个启用了特权分析的域上分配权限。
要求:若要分配权限,您需要具有域管理员权限或同等权限的帐户。

  • 在域控制器的命令行界面中,运行以下命令以添加两项权限:

    复制 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • 其中:

  • <__DOMAIN_ROOT__> 指的是域根的标识名。示例:“DC=<DOMAIN>,DC=<TLD>”

  • <__SERVICE_ACCOUNT__> 指的是 Tenable Identity Exposure 使用的服务帐户。示例:“DOMAIN\tenablead”

  1. 从 Windows 的“开始”菜单中,打开“Active Directory 用户和计算机”。

  2. 从“视图”菜单中,选择“高级功能”。

  3. 右键点击域根,并选择“属性”。

    域根的属性窗格随即打开。

  4. 点击“安全”选项卡,然后单击“添加”。

  5. 找到 Tenable Identity Exposure 服务帐户:

    注意:在具有多个域环境的林中,服务帐户可能位于不同的 Active Directory 域中。

  6. 向下滚动列表,并取消选择默认设置的所有权限。

  7. 在“允许”列中,同时为“复制目录更改”和“复制目录更改所有项”选择权限。

  8. 单击“确定”。

重要说明

Tenable Identity Exposure 中每个林仅需要一个服务帐户,因此当您在域中分配权限时,可能需要从另一个域搜索该服务帐户
您必须在域根级别分配其他权限。Active Directory 不支持分配给某个组织单位或特定用户的权限(例如将特权分析限制为 OU 或用户),因此不会产生任何影响。
这些权限授予 Tenable Identity Exposure 服务帐户更多的 Active Directory 域权限。然后,您必须将其视为特权帐户(第 0 层) 并像保护域管理员帐户一样加以保护。有关完整程序,请参阅“保护服务帐户”。