AD 개체 또는 컨테이너에 대한 액세스
Tenable Identity Exposure에서 보안 모니터링을 수행하려면 관리 권한이 필요하지 않습니다.
이 방식은 Tenable Identity Exposure에서 한 도메인(사용자 계정, 조직 단위, 그룹 등 포함)에 저장된 모든 Active Directory 개체를 읽는 데 사용하는 사용자 계정의 기능에 의존합니다.
기본적으로, 대부분의 개체에는 Tenable Identity Exposure 서비스 계정에서 사용하는 그룹 도메인 사용자에 대한 읽기 액세스 권한이 있습니다. 단, Tenable Identity Exposure 사용자 계정에 읽기 액세스를 허용하려면 몇몇 컨테이너를 수동으로 구성해야 합니다.
다음 표에서는 Tenable Identity Exposure에서 모니터링하는 각 도메인에서 읽기 액세스를 얻기 위해 수동 구성이 필요한 Active Directory 개체와 컨테이너를 자세히 설명합니다.
컨테이너의 위치 |
설명 |
---|---|
CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD> |
삭제된 개체를 호스팅하는 컨테이너입니다. |
CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD> |
(선택 사항) 비밀번호 설정 개체를 호스팅하는 컨테이너입니다. |
AD 개체와 컨테이너에 대한 액세스 권한을 부여하는 방법:
-
도메인 컨트롤러의 PowerShell 콘솔에서 다음 명령을 실행하여 Active Directory 개체 또는 컨테이너에 대한 액세스 권한을 부여합니다.
참고: Tenable Identity Exposure에서 모니터링하는 각 도메인에서 이 명령을 실행해야 합니다.복사여기에서, <__SERVICE_ACCOUNT__>는 Tenable Identity Exposure에서 사용하는 서비스 계정입니다.#Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
아니면, PowerShell을 사용할 수 없는 경우 각 컨테이너에 대하여 다음과 같은 명령을 실행할 수도 있습니다.
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T
여기에서:
- <__CONTAINER__>는 액세스가 필요한 컨테이너를 가리킵니다.
-
<__SERVICE_ACCOUNT__>는 Tenable Identity Exposure에서 사용하는 서비스 계정입니다.