非管理域控制器帐户

您需要一个域帐户来设置事件源，如LDAP和Active Directory。InsightIDR使用来自这些事件源的日志数据来正确地将您组织的所有事件归为所涉及的用户，并为分析添加上下文。获取这些日志的最简单方法是使用Domain Admin帐户查询Domain Controllers。

您使用的域帐户可能需要特定配置的管理权限。例如，在设置Active Directory事件源时。

InsightIDR利用Windows管理Instrumentation (WMI)查询Active Directory域控制器的Admin帐户的安全事件日志。它还利用分布式组件对象模型(DCOM)技术来处理对域控制器的远程调用。

但是，您的环境中的一些限制可能要求您使用非管理帐户查询域控制器。

要授予非管理员用户能够连接到域控制器并利用远程读取，启动和访问权限：

• 授予DCOM权限
• 授予WMI权限

你也可以添加额外的域控制器．

授予DCOM权限

要授予DCOM权限，您必须完成几个步骤来连接域控制器并使用适当的权限查询AD安全日志:

• 将域用户添加到特定的组
• 授予远程启动和激活权限
• 授予远程访问权限

将域用户添加到特定组

这个非管理员用户必须包含在特定的Windows组中，以便作为Rapid7的非管理员服务帐户来代替域管理员。

将标准域用户添加到这些组中:

1. 按照下面的说明创建一个标准域用户:https://support.microsoft.com/en-us/help/13951/windows-create-user-account

2. 创建用户后，需要将用户添加到以下内置组中:
   • 分布式COM用户
   • 事件日志的读者
   • 服务器运营商组

授予远程启动和激活权限

现在，您必须给用户适当的远程启动权限。

要授予远程启动权限：

1. 从Windows开始菜单中单击开始>运行要启动命令终端并输入以下命令：DCOMCNFG．
2. 单击好吧按钮。出现“组件服务”窗口。
3. 展开组件服务>计算机路径,单击右键我的电脑>属性。
4. 在“我的计算机属性”窗口中，单击COM安全选项卡。
5. 在“启动和激活权限”下，单击“编辑限制按钮。

6. 在“启动权限”框中，确保您的名称或组出现在列表中。如果没有出现在列表中:
   • 单击添加按钮。
   • 在“选择用户、计算机或组”框中，在“输入要选择的对象名称”框中添加您的名称和组。
   • 单击好吧按钮。
7. 在“允许”列下“用户的权限”下，检查远程启动和远程激活方框以启用这些权限。
8. 单击好吧按钮以授予用户的远程启动和激活权限。

授予远程访问权限

现在，用户帐户需要远程访问权限才能充当服务帐户。要授予远程访问权限：

1. 从前面步骤中访问的“组件服务”窗口返回到“我的计算机>属性”窗口。
2. 在“我的计算机属性”对话框中，单击“COM安全选项卡。
3. 在“访问权限”下，单击“访问权限”编辑限制按钮。
4. 在“启动权限”框中，确保您的名称或组出现在列表中。如果没有出现在列表中:
   • 单击添加按钮。
   • 在“选择用户、计算机或组”框中，在“输入要选择的对象名称”框中添加您的名称和组。
   • 单击好吧按钮
5. 在“允许”列下“用户的权限”下，检查远程访问盒子然后点击好吧按钮。

格兰特WMI权限

既然域用户具有权限，则必须为用户帐户权限提供在Windows管理仪器（WMI）控制台中使用Active Directory查询。

将AD查询的权限授予用户:

1. 从Windows开始菜单中单击开始>运行要启动命令终端并输入以下命令：wmimgmt.msc．弹出“计算机管理”窗口。
2. 右键单击WMI控制选项并从下拉列表中选择**属性选项。
3. 在“WMI控件属性”窗口中，选择安全选项卡，然后展开根树。
4. 选择CIMV2选项，然后单击安全按钮。
5. 添加您创建的用于使用AD Query的域用户。

6. 检查启用帐户和远程支持用户帐户的权限。
7. 单击先进的按钮。选择域用户并确保“应用于”设置为“此命名空间和子项空间”。
8. 选择好吧按钮以保存更改。

9. 单击，重新启动WMI服务开始从您的Windows菜单和搜索“服务”。
10. 找到并右键单击“Windows Management Instrumentation”服务。
11. 选择重新开始选择。

添加其他域控制器

如果要为AD安全日志添加其他域控制器，则必须在每个目标系统上启用WMI权限。为此，重复步骤授予DCOM权限那授予WMI权限，然后重新启动WMI服务。