AD 개체 또는 컨테이너에 대한 액세스

필수 사용자 역할: Active Directory 도메인 관리자

Tenable Identity Exposure에서 보안 모니터링을 수행하려면 관리 권한이 필요하지 않습니다.

이 방식은 Tenable Identity Exposure에서 한 도메인(사용자 계정, 조직 단위, 그룹 등 포함)에 저장된 모든 Active Directory 개체를 읽는 데 사용하는 사용자 계정의 기능에 의존합니다.

기본적으로, 대부분의 개체에는 Tenable Identity Exposure 서비스 계정에서 사용하는 그룹 도메인 사용자에 대한 읽기 액세스 권한이 있습니다. 단, Tenable Identity Exposure 사용자 계정에 읽기 액세스를 허용하려면 몇몇 컨테이너를 수동으로 구성해야 합니다.

다음 표에서는 Tenable Identity Exposure에서 모니터링하는 각 도메인에서 읽기 액세스를 얻기 위해 수동 구성이 필요한 Active Directory 개체와 컨테이너를 자세히 설명합니다.

AD 개체와 컨테이너에 대한 액세스 권한을 부여하는 방법:

• 도메인 컨트롤러의 PowerShell 콘솔에서 다음과 같은 명령을 실행하여 Active Directory 개체 또는 컨테이너에 대한 액세스 권한을 부여합니다.

  참고: 이 명령을 Tenable Identity Exposure 에서 모니터링하는 각 도메인에서 실행해야 합니다.
  참고: takeownity 명령을 사용하면 컨테이너의 소유권이 다시 할당됩니다. 이렇게 하면 현재 사용자가 이전에 너무 제한적이었던 권한을 수정할 수 있습니다.
  현재 사용자가 도메인 관리자나 엔터프라이즈 관리자와 같이 Tenable 권장 그룹에 속하는 경우, 이러한 그룹 중 하나가 새 소유자가 됩니다. 이것은 안전한 소유권 할당으로 간주됩니다.
  단, 사용자가 이러한 그룹 중 하나에 속하지 않는 경우, 사용자 계정 자체가 새 소유자가 됩니다. 이것은 권장하는 방법이 아니며, 소유권을 더 안전한 그룹으로 수동으로 초기화해야 합니다.
  

  현재 사용자가 도메인 관리자나 엔터프라이즈 관리자와 같은 권장 그룹에 속하는 경우, 이러한 그룹 중 하나가 새 소유자가 됩니다. 이것은 안전한 소유권 할당으로 간주됩니다.

  하지만 사용자가 이러한 그룹 중 하나 *가 아닌* 경우, 사용자 계정 자체가 새 소유자가 됩니다. 이것은 권장하는 방법이 아니며, 소유권을 더 안전한 그룹으로 수동으로 초기화해야 합니다.

  복사

  #Set Service Account
  $serviceAccount = "<SERVICE_ACCOUNT>"
  
  #Don't Edit after here
  $domain = Get-ADDomain
  @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object {
      & dsacls $_ /takeownership
      & dsacls $_ /g "$($serviceAccount):LCRP" /I:T
  }

  여기에서, <__SERVICE_ACCOUNT__> 는 Tenable Identity Exposure 에서 사용하는 서비스 계정입니다.

아니면, PowerShell을 사용할 수 없는 경우 각 컨테이너에 대하여 다음과 같은 명령을 실행할 수도 있습니다.

dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

여기에서:

• <__CONTAINER__>는 액세스가 필요한 컨테이너를 가리킵니다.

• <__SERVICE_ACCOUNT__>는 Tenable Identity Exposure에서 사용하는 서비스 계정입니다.