AdminCount 특성을 일반 사용자에 설정

사용자 계정의 adminCount 특성은 관리 그룹에서의 과거 멤버 자격을 나타내며, 계정이 그룹에서 탈퇴할 때 초기화되지 않습니다. 따라서 오래된 관리 계정이라도 이 특성을 보유하며, Active Directory 권한 상속을 차단합니다. 이 특성은 원래 관리자 보호가 목적이었지만, 까다로운 권한 문제를 유발할 수 있습니다.

이 중간 수준 IoE는 이 특성이 있는 활성 사용자 계정과 그룹에 대해서만 보고하고, adminCount 특성이 1로 설정된 정상 구성원을 포함하는 권한 있는 그룹은 제외합니다.

AdminCount 특성을 일반 사용자에 설정 IoE의 일탈 개체를 수정하는 방법:

1. Tenable Identity Exposure의 탐색 창에서 위험 노출 지표를 클릭하여 엽니다.

   기본적으로 Tenable Identity Exposure에서는 일탈 개체를 포함한 IoE만 표시합니다.

2. AdminCount 특성을 일반 사용자에 설정 IoE 타일을 클릭합니다.

   

   지표 세부 정보 창이 열립니다.

3. 일탈 개체를 마우스로 가리키고 클릭하여 세부 정보를 표시하고, 도메인 이름과 계정을 기록해 둡니다. (이 예시의 경우: 도메인 = OLYMPUS.CORP, 일반 계정은 unpriv-usr)

   

4. 원격 데스크톱 관리자(또는 그와 유사한 도구)에서 도메인 이름을 찾아 Tenable Identity Exposure가 플래그한 사용자와 계정으로 이동합니다.

   필요한 권한: 이 절차를 수행하려면 도메인에 대한 관리자 계정이 있어야 합니다.

   

5. 계정 이름을 클릭하여 속성 대화 상자를 열고 특성 편집기 탭을 선택합니다.

6. 특성 목록에서 adminCount를 클릭하여 정수 특성 편집기 대화 상자를 엽니다.

   

7. 대화 상자에서 지우기와 확인을 클릭합니다.

   

8. Tenable Identity Exposure에서 지표 세부 정보 창으로 돌아가 페이지를 새로 고칩니다.

   일탈 개체가 더 이상 목록에 표시되지 않습니다.