Dediziertes Dienstkonto erforderlich Active Directory-Sicherheitsgruppen für WinRM Agentless User-ID

Wenn das Dienstkonto nicht Zu den Domänenadministratoren gehört, schlägt das Dienstkonto bei der Konfiguration von Agentless User- ID unter PanOS mit WinRM fehl, da der Zugriff auf den WinRM-Dienst aufgrund eines Berechtigungsproblems verweigert wird. Der folgende Fehler wird auf der firewall in der Useridd.log angezeigt:

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)

• Palo Alto Networks Firewall 
• PanOS 9.0.x oder höher
• Windows Server 2012 R2 und Windows Server 2016

Wenn Sie das dedizierte Dienstkonto nicht zur Gruppe Windows-Domänen-Admins oder -Administratoren hinzufügen möchten oder können, muss das Dienstkonto den folgenden Sicherheitsgruppen auf dem Windows-Domänencontroller hinzugefügt werden, damit das Dienstkonto Zugriff auf WinRM hat WMI und:

• Verteilte COM Benutzer
• Ereignisprotokollleser
• Benutzer der Remoteverwaltung
• Serverbetreiber
• WinRMRemoteWMIUsers__ Gruppe

Wenn Sie Daten über WMI WinRM abrufen möchten, benötigt das Dienstkonto außerdem Zugriff, um den CIMV2-Namespace auf den Domänencontrollern zu lesen. Weitere Informationen zum CIMV2-Namespace finden Sie unter Konfigurieren eines Dienstkontos für den PAN-OS integrierten ID Benutzeragenten.

Wenn Sie Windows Server 2016 ausführen, fehlt in der folgenden integrierten lokalen Gruppe möglicherweise "WinRMRemoteWMIUsers__ Gruppe". Wenn die Gruppe fehlt, wenden Sie sich bitte an den Microsoft-Support, um Unterstützung beim Hinzufügen der Gruppe zu erhalten.