AD オブジェクトまたはコンテナへのアクセス

注意: このセクションは、露出インジケーターモジュールの Tenable Identity Exposure ライセンスにのみ適用されます。

Tenable Identity Exposure は、セキュリティ監視を達成するために管理者権限を必要としません。

このアプローチは、ドメインに保存されているすべての Active Directory オブジェクト (ユーザーアカウント、組織単位、グループなど) を読み取るために Tenable Identity Exposure が使用するユーザーアカウントの機能に依存しています。

ほとんどのオブジェクトはデフォルトで、Tenable Identity Exposure サービスアカウントが使用するグループドメインユーザーに対する読み取りアクセス権を持っています。ただし、一部のコンテナは、Tenable Identity Exposure ユーザーアカウントに対する読み取りアクセスを許可するために、手動で設定する必要があります。

Tenable Identity Exposure が監視する各ドメインで読み取りアクセス権を持たせるために、手動設定が必要な Active Directory オブジェクトとコンテナの詳細を次の表に示します。

コンテナの場所

説明

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

削除されたオブジェクトをホストするコンテナ

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(オプション) パスワード設定オブジェクトをホストするコンテナ

AD オブジェクトまたはコンテナへのアクセスを許可するには

  • ドメインコントローラーのコマンドラインインターフェースで、次のコマンドを実行して、Active Directory オブジェクトまたはコンテナへのアクセスを許可します。

    注意: Tenable Identity Exposure が監視する各ドメインでこのコマンドを実行する必要があります。
    コピー
    dsacls "<__CONTAINER__>" /takeownership
    dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

    各部の説明

    • <__CONTAINER__> は、アクセスを必要とするコンテナを表します。
    • <__SERVICE_ACCOUNT__> は、Tenable Identity Exposure が使用するサービスアカウントを表します。