Accès aux objets ou conteneurs AD

Remarque : cette section s'applique uniquement à une licence Tenable Identity Exposure du module Indicateur d'exposition.

Tenable Identity Exposure ne nécessite pas de privilèges administratifs pour assurer sa surveillance de la sécurité.

Cette approche repose le fait que le compte utilisateur employé par Tenable Identity Exposure est capable de lire tous les objets Active Directory stockés dans un domaine (y compris les comptes utilisateur, les unités d'organisation, les groupes, etc.).

Par défaut, la plupart des objets ont un accès en lecture pour le groupe Utilisateurs de domaine que le compte de service Tenable Identity Exposure utilise. Cependant, vous devez configurer manuellement certains conteneurs pour autoriser l'accès en lecture pour le compte utilisateur Tenable Identity Exposure.

Le tableau suivant détaille les objets et conteneurs Active Directory qui nécessitent une configuration manuelle pour un accès en lecture sur chaque domaine que Tenable Identity Exposure doit surveiller.

Localisation du conteneur

Description

CN=Objets supprimés,DC=<DOMAINE>,DC=<TLD>

Conteneur qui héberge les objets supprimés.

CN=Conteneur de paramètres de mot de passe,CN=Système, DC=<DOMAINE>,DC=<TLD>

(Facultatif) Conteneur qui héberge les objets de paramètres de mot de passe.

Pour accorder l'accès aux objets et aux conteneurs AD :

  • Dans la console PowerShell du contrôleur de domaine, exécutez les commandes suivantes pour accorder l'accès aux objets ou conteneurs Active Directory :

    Remarque : vous devez exécuter ces commandes sur chaque domaine surveillé par Tenable Identity Exposure.
    Copier 
    #Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
    <__SERVICE_ACCOUNT__> désigne le compte de service utilisé par Tenable Identity Exposure.

Autrement, si PowerShell n'est pas disponible, vous pouvez également exécuter ces commandes pour chaque conteneur :

Copier 
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

Dans ces commandes :

  • <__CONTAINER__> désigne le conteneur qui nécessite un accès.

  • <__SERVICE_ACCOUNT__> désigne le compte de service que Tenable Identity Exposure utilise.