Dediziertes Dienstkonto erforderlich Active Directory-Sicherheitsgruppen für WinRM Agentless User-ID
Symptom
Wenn das Dienstkonto nicht Zu den Domänenadministratoren gehört, schlägt das Dienstkonto bei der Konfiguration von Agentless User- ID unter PanOS mit WinRM fehl, da der Zugriff auf den WinRM-Dienst aufgrund eines Berechtigungsproblems verweigert wird. Der folgende Fehler wird auf der firewall in der Useridd.log angezeigt:
failed to connect to winrm server. HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied Connection failed. response code = 500, error: (null)
Environment
- Palo Alto Networks Firewall
- PanOS 9.0.x oder höher
- Windows Server 2012 R2 und Windows Server 2016
Resolution
Wenn Sie das dedizierte Dienstkonto nicht zur Gruppe Windows-Domänen-Admins oder -Administratoren hinzufügen möchten oder können, muss das Dienstkonto den folgenden Sicherheitsgruppen auf dem Windows-Domänencontroller hinzugefügt werden, damit das Dienstkonto Zugriff auf WinRM hat WMI und:
- Verteilte COM Benutzer
- Ereignisprotokollleser
- Benutzer der Remoteverwaltung
- Serverbetreiber
- WinRMRemoteWMIUsers__ Gruppe
Wenn Sie Daten über WMI WinRM abrufen möchten, benötigt das Dienstkonto außerdem Zugriff, um den CIMV2-Namespace auf den Domänencontrollern zu lesen. Weitere Informationen zum CIMV2-Namespace finden Sie unter Konfigurieren eines Dienstkontos für den PAN-OS integrierten ID Benutzeragenten.
Additional Information
Wenn Sie Windows Server 2016 ausführen, fehlt in der folgenden integrierten lokalen Gruppe möglicherweise "WinRMRemoteWMIUsers__ Gruppe". Wenn die Gruppe fehlt, wenden Sie sich bitte an den Microsoft-Support, um Unterstützung beim Hinzufügen der Gruppe zu erhalten.