標準ユーザーに設定される AdminCount 属性

ユーザーアカウントの adminCount 属性は、管理グループにおける過去のメンバーシップを示し、アカウントがグループに含まれなくなった後でもリセットされません。その結果、古い管理アカウントにもこの属性があり、Active Directory のアクセス許可の継承がブロックされます。本来は管理者を保護することを目的としていますが、アクセス許可に関する問題が発生する可能性があります。

この中レベルの IoE は、この属性を持つアクティブなユーザーアカウントとグループのみをレポートし、adminCount 属性が 1に設定された正当なメンバーを持つ特権グループはレポートしません。

標準ユーザーに設定される AdminCount 属性 IoE からの逸脱オブジェクトを修正するには、次の手順を実行します。

  1. Tenable Identity Exposure で、ナビゲーションペインの [露出インジケーター] をクリックして開きます。

    デフォルトでは、Tenable Identity Exposure は逸脱オブジェクトを含む IoE だけを表示します。

  2. 標準ユーザーに設定される AdminCount 属性 IoE のタイルをクリックします。

    [インジケーターの詳細] ペインが開きます。

  3. 逸脱オブジェクトにカーソルを合わせてクリックすると詳細が表示されるので、ドメイン名とアカウントを書き留めます。(この例では、ドメイン = OLYMPUS.CORP、標準アカウントは unpriv-usr)

  4. リモートデスクトップマネージャー (または類似のツール) で、ドメイン名を見つけて、[ユーザー]Tenable Identity Exposure フラグが付けられたアカウントに移動します。

    必要なアクセス許可: この手順を実行するには、ドメインの管理者アカウントが必要です。

  5. アカウント名をクリックして [プロパティ] ダイアログボックスを開き、[属性エディター] タブを選択します。

  6. 属性のリストで、[adminCount] をクリックして [Integer Attribute Editor] (整数属性エディター) ダイアログボックスを開きます。

  7. ダイアログボックスで、[クリア] および [OK] をクリックします。

  8. Tenable Identity Exposure で、[インジケーターの詳細] ペインに戻り、ページを更新します。

    逸脱オブジェクトがリストに表示されなくなります。