標準ユーザーに設定される AdminCount 属性

ユーザーアカウントの adminCount 属性は、管理グループにおける過去のメンバーシップを示し、アカウントがグループに含まれなくなった後でもリセットされません。その結果、古い管理アカウントにもこの属性があり、Active Directory のアクセス許可の継承がブロックされます。本来は管理者を保護することを目的としていますが、アクセス許可に関する問題が発生する可能性があります。

この中レベルの IoE は、この属性を持つアクティブなユーザーアカウントとグループのみをレポートし、adminCount 属性が 1に設定された正当なメンバーを持つ特権グループはレポートしません。

標準ユーザーに設定される AdminCount 属性 IoE からの逸脱オブジェクトを修正するには、次の手順を実行します。

1. Tenable Identity Exposure で、ナビゲーションペインの [露出インジケーター] をクリックして開きます。

   デフォルトでは、Tenable Identity Exposureは逸脱オブジェクトを含む IoE だけを表示します。

2. 標準ユーザーに設定される AdminCount 属性 IoE のタイルをクリックします。

   

   [インジケーターの詳細] ペインが開きます。

3. 逸脱オブジェクトにカーソルを合わせてクリックすると詳細が表示されるので、ドメイン名とアカウントを書き留めます。(この例では、ドメイン = OLYMPUS.CORP、標準アカウントは unpriv-usr)

   

4. リモートデスクトップマネージャー (または類似のツール) で、ドメイン名を見つけて、[ユーザー] と Tenable Identity Exposure フラグが付けられたアカウントに移動します。

   必要なアクセス許可: この手順を実行するには、ドメインの管理者アカウントが必要です。

   

5. アカウント名をクリックして [プロパティ] ダイアログボックスを開き、[属性エディター] タブを選択します。

6. 属性のリストで、[adminCount] をクリックして [Integer Attribute Editor] (整数属性エディター) ダイアログボックスを開きます。

   

7. ダイアログボックスで、[クリア] および [OK] をクリックします。

   

8. Tenable Identity Exposure で、[インジケーターの詳細] ペインに戻り、ページを更新します。

   逸脱オブジェクトがリストに表示されなくなります。