标准用户中设置了 AdminCount 属性

用户帐户的 adminCount 属性表示管理组中过去的成员资格，并且该属性在帐户离开管理组后不会重置。因此，即使是旧的管理帐户也设有此属性，这会阻止 Active Directory 权限的继承。虽然该属性的初衷是保护管理员，但却可能引发棘手的权限问题。

此中等级别 IoE 仅报告具有此属性的活动用户帐户和组，不包括合法成员的 adminCount 属性设为 1 的特权组。

若要修复“标准用户中设置了 AdminCount 属性”IoE 中的异常对象，请执行以下操作：

1. 在 Tenable Identity Exposure 中，单击导航窗格中的“风险暴露指标”以将其打开。

   默认情况下，Tenable Identity Exposure 仅显示包含异常对象的 IoE。

2. 单击“标准用户中设置了 AdminCount 属性”IoE 的磁贴。

   

   “指标详细信息”窗格随即打开。

3. 将鼠标悬停在异常对象上并单击以查看详细信息，同时记下域名和帐户。（在此示例中：域名 = OLYMPUS.CORP，标准帐户为 unpriv-usr）

   

4. 在远程桌面管理器（或类似工具）中，找到该域名并导航到“用户”和 Tenable Identity Exposure 标记的帐户。

   所需权限：必须拥有域管理员帐户，才能执行该过程。

   

5. 单击帐户名称以打开“属性”对话框，然后选择“属性编辑器”选项卡。

6. 在属性列表中，单击“adminCount”以打开“整数属性编辑器”对话框。

   

7. 在对话框中，先后单击“清除”和“确定”。

   

8. 在 Tenable Identity Exposure 中，返回“指标详细信息”窗格并刷新页面。

   异常对象不再显示在列表中。