Error de ID de usuario de agente ' acceso denegado ' en el monitor de servidor
Error de ID de usuario de agente ' acceso denegado ' en el monitor de servidor
270726
Created On 09/25/18 20:39 PM - Last Modified 06/09/23 03:17 AM
Resolution
Incidencia
Al utilizar la configuración de ID de usuario sin agente, el estado muestra como acceso denegado bajo supervisión de servidor:
Causa
Compruebe la useridd.log
Ejecute el siguiente comando: > less MP-log ID. log
Vaya al final del archivo presionando Mayús + G en el teclado. Si aparece el siguiente error en los registros, es probable que el problema se deba a un problema de permisos: error en la consulta de registro para snt016: [WMI/WMIC. c: 200: Main ()]: inicio de sesión en el objeto remoto.
También, si el error "NT_STATUS_NET_WRITE_FAULT" aparece en las entradas de registro, esto indica que caracteres especiales se utilizan la contraseña de la cuenta de servicio. Esta contraseña debe restablecerse.
Resolución
Consulte el siguiente documento para obtener la configuración correcta del identificador de usuario sin agente: Cómo configurar el ID de usuario sin agente
Compruebe la configuración de permisos en servidor de Windows 2008/2012 para el acceso de registro de sucesos WMI por el ID de usuario sin agente:
Todos los usuarios de dispositivos están asignados a un grupo. Este grupo debe crearse como un "grupo Universal", así que puede ser utilizado en múltiples dominios. El grupo recién creado debe agregarse al grupo incorporado, "Registro de sucesos de lectores", para permitir la lectura de registros de seguridad del controlador de dominio de Active Directory o Microsoft Exchange Server. También debe agregarse al grupo de usuarios de "Usuarios de COM distribuido" permitir inicio de sesión remoto mediante DCOM.
Si el el grupo de usuarios debe poder acceder a los registros de seguridad de todos los servidores de dominio, puede fijar un permiso correspondiente a través de Microsoft Active Directory Group Policy Objects.
Permisos de WMI
Para servidor de ventanas 2008/2012, el sistema de permisos de acceder de forma remota los servidores y los recursos locales ha cambiado dramáticamente desde versiones anteriores. Estos cambios requieren ciertos permisos de la API de WMI en orden para el ID de usuario acceder a registros de sucesos de seguridad remotamente.
En los servidores de Windows específicos que necesitan seguimiento, abra la consola de administración de WMI ("wmimgmt.msc"). Seleccione las propiedades de WMI controles locales y editar la configuración de "Seguridad". Vaya a la sección "CIMV2" y haga clic en "Seguridad". Agregar el grupo de usuarios creado para los usuarios del firewall a la lista de usuarios autorizados y grupos y habilitar los permisos de "Activar cuenta", "Permitir remoto" y "Leer la seguridad".
Configuración de GPO
Como alternativa, para permitir que el grupo de usuario recién creado acceder a todos los registros de seguridad en todos los servidores de dominio, establecer el correspondiente objeto de directiva de grupo en lugar de agregar individualmente el grupo a los grupos locales. Esto es necesario, puesto que este permiso es un permiso local en los servidores del dominio.
Si el problema no se resuelve todavía, realizar capturas de paquetes en el controlador de dominio para determinar la autenticación fallida y comunicarte con Palo Alto Networks.