林

1. 在 Tenable Identity Exposure 中，点击“系统”>“林管理”。

2. 点击右侧的“添加林”。

   此时会出现“添加林”窗格。

3. 在“名称”框中，输入林的名称。

4. 在“帐户”部分，为 Tenable Identity Exposure 使用的服务帐户提供以下内容：
   • 登录：输入服务帐户的名称。
   格式：用户主体名称，例如“[email protected]”（推荐此格式，因为其与 Kerberos 身份验证 兼容）；或 NetBIOS，例如“DomainNetBIOSName\SamAccountName”。
   • 密码：输入服务帐户的密码。
注意：如果您必须将 Tenable Identity Exposure 的 AD 服务帐户设置为 Protected Users 组成员，请确保您的 Tenable Identity Exposure 配置支持 Kerberos 身份验证，因为 Protected Users 无法使用 NTLM 验证。

5. 单击“添加”。

   此时会出现一条消息，确认已添加新的林。

1. 在 Tenable Identity Exposure 中，点击“系统”>“林管理”。

2. 在林列表中，将鼠标悬停在要修改的林上，然后点击右侧的 图标。

   此时会出现“编辑林”窗格。

3. 根据需要进行修改。

4. 单击“编辑”。

   此时会出现一条消息，确认 Tenable Identity Exposure 已更新林。

您可以借助适当的管理权限，使用 Windows 的本地安全策略编辑器或组策略编辑器来修改用户帐户控制设置。

• 在编辑器中，导航到“本地策略”->“安全选项”，找到并配置以下设置：（设置可能因 Windows 版本而有所不同。）

  • “网络访问：不允许存储密码和凭据以进行网络认证”：将其设置为“已启用”。

  • “帐户：不需要 Kerberos 预身份验证”：并将其设置为“已禁用”。

  • “网络安全：配置 Kerberos 允许的加密类型”：确保未选择“为此帐户使用 Kerberos DES 加密类型”选项。

  • “帐户：密码最长使用期限”：设置密码到期期限（例如 30 天、60 天或 90 天，以使“PasswordNeverExpires”属性为 FALSE）。

  • “帐户：将本地帐户使用空白密码限制为仅限控制台登录”：将其设置为“已禁用”。

  • “交互式登录：要缓存的以前登录的次数（以防域控制器不可用）”：设置所需值，例如“10”，以允许用户更改其密码。

• 在托管 AD 的计算机上，使用适当的管理权限打开 PowerShell 并运行以下命令：

复制

Set-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false

“<AD_ACCOUNT>”是您想要修改的 Active Directory 帐户的名称。