AD オブジェクトまたはコンテナへのアクセス

必要なユーザーロール: Active Directory ドメイン管理者

Tenable Identity Exposure は、セキュリティ監視を達成するために管理者権限を必要としません。

このアプローチは、ドメインに保存されているすべての Active Directory オブジェクト (ユーザーアカウント、組織単位、グループなど) を読み取るために Tenable Identity Exposure が使用するユーザーアカウントの機能に依存しています。

ほとんどのオブジェクトはデフォルトで、Tenable Identity Exposureサービスアカウントが使用するグループドメインユーザーに対する読み取りアクセス権を持っています。ただし、一部のコンテナは、Tenable Identity Exposureユーザーアカウントに対する読み取りアクセスを許可するために、手動で設定する必要があります。

Tenable Identity Exposure が監視する各ドメインで読み取りアクセス権を持たせるために、手動設定が必要な Active Directory オブジェクトとコンテナの詳細を次の表に示します。

AD オブジェクトとコンテナへのアクセスを付与する方法

• ドメインコントローラーの PowerShell コンソールで、次のコマンドを実行して、Active Directory オブジェクトまたはコンテナへのアクセスを付与します。

  注意: Tenable Identity Exposure がモニターする各ドメインでこれらのコマンドを実行する必要があります。
  注意: takeownership コマンドを使用すると、コンテナの所有権が再割り当てされます。これにより、現在のユーザーは、これまで制限が厳しすぎたアクセス許可を変更できます。
  現在のユーザーがドメイン管理者やエンタープライズ管理者などの Tenable 推奨グループに属している場合、これらのグループのいずれかが新しい所有者になります。これは安全な所有権の割り当てと見なされています。
  ただし、ユーザーがこれらのグループのいずれにも属していない場合は、そのユーザーアカウント自体が新しい所有者になります。この方法は推奨されたものではないため、所有権をより安全なグループに手動でリセットする必要があります。
  

  現在のユーザーがドメイン管理者やエンタープライズ管理者などの推奨グループに属している場合、これらのグループのいずれかが新しい所有者になります。これは安全な所有権の割り当てと見なされています。

  ただし、ユーザーがこれらのグループのいずれにも「属していない」場合は、そのユーザーアカウント自体が新しい所有者になります。この方法は推奨されたものではないため、所有権をより安全なグループに手動でリセットする必要があります。

  コピー

  #Set Service Account
  $serviceAccount = "<SERVICE_ACCOUNT>"
  
  #Don't Edit after here
  $domain = Get-ADDomain
  @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
      & dsacls $_ /takeownership
      & dsacls $_ /g "$($serviceAccount):LCRP" /I:T
  }

  <__SERVICE_ACCOUNT__> は、Tenable Identity Exposure が使用するサービスアカウントを指しています。

PowerShell を使用できない場合は、各コンテナに対してこれらのコマンドを実行することもできます。

dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

各部の説明

• <__CONTAINER__> は、アクセスを必要とするコンテナを表します。

• <__SERVICE_ACCOUNT__> は、Tenable Identity Exposure が使用するサービスアカウントを表します。