Accès aux objets ou conteneurs AD

Remarque : cette section s'applique uniquement à une licence Tenable Identity Exposure du module Indicateur d'exposition.

Tenable Identity Exposure ne nécessite pas de privilèges administratifs pour assurer sa surveillance de la sécurité.

Cette approche repose le fait que le compte utilisateur employé par Tenable Identity Exposure est capable de lire tous les objets Active Directory stockés dans un domaine (y compris les comptes utilisateur, les unités d'organisation, les groupes, etc.).

Par défaut, la plupart des objets ont un accès en lecture pour le groupe Utilisateurs de domaine que le compte de service Tenable Identity Exposure utilise. Cependant, vous devez configurer manuellement certains conteneurs pour autoriser l'accès en lecture pour le compte utilisateur Tenable Identity Exposure.

Le tableau suivant détaille les objets et conteneurs Active Directory qui nécessitent une configuration manuelle pour un accès en lecture sur chaque domaine que Tenable Identity Exposure doit surveiller.

Localisation du conteneur

Description

CN=Objets supprimés,DC=<DOMAINE>,DC=<TLD>

Conteneur qui héberge les objets supprimés.

CN=Conteneur de paramètres de mot de passe,CN=Système, DC=<DOMAINE>,DC=<TLD>

(Facultatif) Conteneur qui héberge les objets de paramètres de mot de passe.

Pour accorder l'accès aux objets et aux conteneurs AD :

  • Dans l'interface de ligne de commande du contrôleur de domaine, exécutez la commande suivante pour accorder l'accès aux objets ou conteneurs Active Directory :

    Remarque : vous devez exécuter cette commande sur chaque domaine surveillé par Tenable Identity Exposure.
    Copier
    dsacls "<__CONTAINER__>" /takeownership
    dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

    où :

    • <__CONTAINER__> désigne le conteneur qui nécessite un accès.
    • <__SERVICE_ACCOUNT__> désigne le compte de service que Tenable Identity Exposure utilise.