特権分析のためのアクセス

オプションの特権分析機能には、管理者権限が必要です。Tenable Identity Exposure が使用するサービスアカウントにアクセス許可を割り当てる必要があります。

詳細は、特権分析を参照してください。

注意: 特権分析を有効にする各ドメインでアクセス許可を割り当てる必要があります。

コマンドラインを使用してアクセス許可を割り当てるには

要件: アクセス許可を割り当てるには、ドメイン管理者の権限または同等の権限を持つアカウントが必要です。

ドメインコントローラーのコマンドラインインターフェースで次のコマンドを実行して、両方のアクセス許可を追加できます。
コピー
```
dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"
```

各部の説明

<__DOMAIN_ROOT__> は、ドメインのルートの識別名を表します。例: DC=<DOMAIN>,DC=<TLD>

<__SERVICE_ACCOUNT__> は、Tenable Identity Exposure が使用するサービスアカウントを表します。例: DOMAIN\tenablead

グラフィカルユーザーインターフェースを使用してアクセス許可を割り当てる方法

Windows の [スタート] メニューから、[Active Directory ユーザーとコンピューター] を開きます。
[表示] メニューから [拡張機能] を選択します。
ドメインルートを右クリックし、[プロパティ] を選択します。

ドメインルートのプロパティペインが開きます。
[セキュリティ] タブをクリックし、[追加] をクリックします。
Tenable Identity Exposure サービスアカウントを見つけます。

注意: 複数のドメイン環境があるフォレストでは、サービスアカウントが別の Active Directory ドメインにある可能性があります。
リストを下にスクロールし、デフォルトで設定されているすべてのアクセス許可を選択解除します。
[許可] 列で、[ディレクトリ変更の複製] と [すべてのディレクトリ変更の複製] の両方のアクセス許可を選択します。
[OK] をクリックします。

重要事項

Tenable Identity Exposure に必要なサービスアカウントはフォレストごとに 1 つだけです。そのため、ドメインでアクセス許可を割り当てる際に、別のドメインのサービスアカウントを検索する必要がある場合があります。

追加のアクセス許可はドメインルートレベルで割り当てる必要があります。Active Directory は、組織単位または特定のユーザーに割り当てられるアクセス許可 (たとえば、特権分析を組織単位 (OU) またはユーザーに制限するアクセス許可) をサポートしていないため、何の影響も及ぼしません。

これらのアクセス許可により、Tenable Identity Exposureサービスアカウントに、Active Directory ドメインに対してより強い権限が付与されます。その後、これを特権アカウント (Tier 0) と見なし、ドメイン管理者アカウントと同様に保護する必要があります。全手順については、サービスアカウントの保護を参照してください。