Acceder a objetos o contenedores de AD

Nota: Esta sección solo se aplica a una licencia de Tenable Identity Exposure para el módulo de indicadores de exposición.

Tenable Identity Exposure no requiere privilegios administrativos para encargarse de la supervisión de la seguridad.

Este enfoque se basa en la capacidad de la cuenta de usuario que Tenable Identity Exposure usa para leer todos los objetos de Active Directory que se almacenan en un dominio (incluidas las cuentas de usuario, las unidades organizativas, los grupos, etc.).

De manera predeterminada, la mayoría de los objetos tienen acceso de lectura para el grupo “Usuarios del dominio” que usa la cuenta de servicio de Tenable Identity Exposure. Sin embargo, tiene que configurar manualmente algunos contenedores para permitir el acceso de lectura a la cuenta de usuario de Tenable Identity Exposure.

En la siguiente tabla se detallan los objetos y contenedores de Active Directory que requieren configuración manual para el acceso de lectura en cada dominio que Tenable Identity Exposure supervisa.

Ubicación del contenedor

Descripción

CN=Deleted Objects,DC=<DOMAIN>,DC=<TLD>

Un contenedor que hospeda objetos eliminados.

CN=Password Settings Container,CN=System, DC=<DOMAIN>,DC=<TLD>

(Opcional) Un contenedor que hospeda objetos de configuración de contraseñas.

Para conceder acceso a objetos y contenedores de AD:

  • En la consola de PowerShell del controlador de dominio, ejecute los siguientes comandos para otorgar acceso a objetos o contenedores de Active Directory:

    Nota: Debe ejecutar estos comandos en cada dominio que Tenable Identity Exposure supervisa.
    Copiar
    #Set Service Account $serviceAccount = "<SERVICE_ACCOUNT>" #Don't Edit after here $domain = Get-ADDomain @($domain.DeletedObjectsContainer, "CN=Password Settings Container,$($domain.SystemsContainer)") | ForEach-Object { & dsacls $_ /takeownership & dsacls $_ /g "$($serviceAccount):LCRP" /I:T }
    donde <__SERVICE_ACCOUNT__> hace referencia a la cuenta de servicio que Tenable Identity Exposure usa.

Como alternativa, si PowerShell no está disponible, también puede ejecutar estos comandos para cada contenedor:

Copiar
dsacls "<__CONTAINER__>" /takeownership
dsacls "<__CONTAINER__>" /g <__SERVICE_ACCOUNT__>:LCRP /I:T

donde:

  • <__CONTAINER__> hace referencia al contenedor que requiere acceso.
  • <__SERVICE_ACCOUNT__> hace referencia a la cuenta de servicio que Tenable Identity Exposure usa.