Acceso a Análisis con privilegios

La funcionalidad opcional Análisis con privilegios requiere privilegios administrativos. Debe asignar permisos para la cuenta de servicio que Tenable Identity Exposure usa.

Para obtener más información, consulte Análisis con privilegios.

Nota: Debe asignar permisos en cada dominio donde habilite Análisis con privilegios.

Para asignar permisos usando la línea de comandos:

Requisito: Para asignar permisos, necesita una cuenta con derechos de Administrador de dominio o equivalente.

  • En la interfaz de la línea de comandos del controlador de dominio, ejecute el siguiente comando para agregar ambos permisos:

    Copiar 
    dsacls "<__DOMAIN_ROOT__>"  /g "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes" "<__SERVICE_ACCOUNT__>:CA;Replicating Directory Changes All"

    • Donde:

  • <__DOMAIN_ROOT__> hace referencia al nombre distintivo de la raíz del dominio. Ejemplo: DC=<DOMAIN>,DC=<TLD>.

  • <__SERVICE_ACCOUNT__> hace referencia a la cuenta de servicio que Tenable Identity Exposure usa. Ejemplo: DOMAIN\tenablead.

Para asignar permisos mediante la interfaz gráfica de usuario:

  1. Desde el menú Inicio de Windows, abra Usuarios y equipos de Active Directory.

  2. En el menú Ver, seleccione Características avanzadas.

  3. Haga clic con el botón derecho en la raíz del dominio y seleccione Propiedades.

    Se abre el panel de propiedades de la raíz del dominio.

  4. Haga clic en la pestaña Seguridad y luego en Agregar.

  5. Busque la cuenta de servicio de Tenable Identity Exposure:

    Nota: En un entorno de bosque con varios dominios, la cuenta de servicio puede estar en otro dominio de Active Directory.

  6. Desplácese hacia abajo por la lista y anule la selección de todos los permisos establecidos de manera predeterminada.

  7. En la columna Permitir, seleccione permisos tanto para Replicación de cambios de directorio como para Replicación de todos los cambios de directorio.

  8. Haga clic en Aceptar.

Notas importantes

Tenable Identity Exposure solo requiere una cuenta de servicio por bosque, por lo que, cuando asigna permisos en un dominio, es posible que tenga que buscar la cuenta de servicio de otro dominio.
Tiene que asignar permisos adicionales en el nivel de raíz del dominio. Active Directory no admite permisos que se asignan a una unidad organizativa o a un usuario específico (por ejemplo, para restringir Análisis con privilegios a la unidad organizativa o al usuario) y, por lo tanto, estos no tienen ningún efecto.
Estos permisos otorgan a la cuenta de servicio de Tenable Identity Exposure mucho más poder sobre el dominio de Active Directory. Luego tiene que considerarla como una cuenta privilegiada (nivel 0) y protegerla de forma similar a una cuenta de administrador de dominio. Para conocer el procedimiento completo, consulte Proteger cuentas de servicio.