권한이 있는 분석에 대한 액세스

선택 사항인 권한 있는 분석 기능에는 관리자 권한이 필요합니다. Tenable Identity Exposure에서 사용하는 서비스 계정에 대하여 권한을 할당해야 합니다.

자세한 내용은 권한 있는 분석을 참조하십시오.

참고: 권한 있는 분석을 사용하는 각 도메인에 권한을 할당해야 합니다.
요구 사항: 권한을 할당하려면 도메인 관리자 권한이나 그와 동급의 권한이 있는 계정이 필요합니다.

  • 도메인 컨트롤러의 명령줄 인터페이스에서 다음과 같은 명령을 실행하여 두 가지 권한을 모두 추가합니다.

    복사 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • 여기에서:

  • <__DOMAIN_ROOT__>는 도메인 루트의 고유 이름을 나타냅니다. 예: “DC=<DOMAIN>,DC=<TLD>”

  • <__SERVICE_ACCOUNT__>Tenable Identity Exposure에서 사용하는 서비스 계정입니다. 예: “DOMAIN\tenablead”.

  1. Windows의 시작 메뉴에서 Active Directory 사용자 및 컴퓨터를 엽니다.

  2. 보기 메뉴에서 고급 기능을 선택합니다.

  3. 도메인 루트를 마우스 오른쪽으로 클릭하여 속성을 선택합니다.

    도메인 루트의 속성 창이 열립니다.

  4. 보안 탭을 클릭하고 추가를 클릭합니다.

  5. Tenable Identity Exposure 서비스 계정을 찾습니다.

    참고: 여러 도메인이 있는 포리스트 환경에서는 서비스 계정이 다른 Active Directory 도메인에 있을 수 있습니다.

  6. 목록 아래로 스크롤하여 기본적으로 설정된 모든 권한을 선택 취소합니다.

  7. 허용 열에서 디렉터리 변경 사항 복제디렉터리 변경 사항 모두 복제의 권한을 둘 다 선택합니다.

  8. 확인을 클릭합니다.

중요 참고 사항

Tenable Identity Exposure에는 포리스트당 서비스 계정 하나만 있으면 됩니다. 따라서 도메인에 권한을 할당할 때 다른 도메인의 서비스 계정을 검색해야 할 수도 있습니다.
추가 권한은 도메인 루트 수준에서 할당해야 합니다. Active Directory는 조직 단위나 특정 사용자에게 할당된 권한을 지원하지 않으므로(예: 권한 있는 분석을 OU나 사용자로 제한) 이렇게 해도 아무런 영향이 없습니다.
이러한 권한은 Active Directory 도메인에 대해 Tenable Identity Exposure 서비스 계정에 훨씬 더 많은 권한을 부여합니다. 그런 다음 이를 권한 있는 계정(계층 0)으로 간주하고 도메인 관리자 계정과 비슷하게 보호해야 합니다. 전체 절차는 서비스 계정 보호를 참조하십시오.