AD オブジェクトまたはコンテナへのアクセス
Tenable Identity Exposure は、セキュリティ監視を達成するために管理者権限を必要としません。
このアプローチは、ドメインに保存されているすべての Active Directory オブジェクト (ユーザーアカウント、組織単位、グループなど) を読み取るために Tenable Identity Exposure が使用するユーザーアカウントの機能に依存しています。
ほとんどのオブジェクトはデフォルトで、Tenable Identity Exposureサービスアカウントが使用するグループドメインユーザーに対する読み取りアクセス権を持っています。ただし、一部のコンテナは、Tenable Identity Exposureユーザーアカウントに対する読み取りアクセスを許可するために、手動で設定する必要があります。
Tenable Identity Exposure が監視する各ドメインで読み取りアクセス権を持たせるために、手動設定が必要な Active Directory オブジェクトとコンテナの詳細を次の表に示します。
|
コンテナの場所 |
説明 |
|---|---|
|
CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD> |
削除されたオブジェクトをホストするコンテナ |
|
CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD> |
(オプション) パスワード設定オブジェクトをホストするコンテナ |
AD オブジェクトとコンテナへのアクセスを許可するには
-
ドメインコントローラーの PowerShell コンソールで、次のコマンドを実行して、Active Directory オブジェクトまたはコンテナへのアクセスを許可します。
注意: Tenable Identity Exposure が監視する各ドメインでこれらのコマンドを実行する必要があります。コピー<__SERVICE_ACCOUNT__> は、Tenable Identity Exposureが使用するサービスアカウントを指しています。#Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
PowerShell を使用できない場合は、各コンテナに対してこれらのコマンドを実行することもできます。
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T
各部の説明
- <__CONTAINER__> は、アクセスを必要とするコンテナを表します。
-
<__SERVICE_ACCOUNT__> は、Tenable Identity Exposureが使用するサービスアカウントを表します。