Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
La cuenta de servicio dedicada requiere grupos de seguridad de ... - Knowledge Base - Palo Alto Networks

La cuenta de servicio dedicada requiere grupos de seguridad de Active Directory para el usuario sin agente de WinRM:ID

99547
Created On 05/26/21 23:30 PM - Last Modified 08/29/23 05:55 AM


Symptom


Al configurar usuario sin agente- ID en PanOS mediante WinRM, si la cuenta de servicio no forma parte de los administradores de dominio, se producirá un error en la cuenta de servicio como el acceso se denegará al servicio WinRM debido a un problema de permisos. El siguiente error se verá en el firewall en el useridd.log:

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)


Environment


  • Redes palo alto Firewall 
  • PanOS 9.0.x o superior
  • Windows Server 2012 R2 y Windows Server 2016


Resolution


Si no desea o no puede agregar la cuenta de servicio dedicada al grupo Administradores de dominio de Windows o Administradores, la cuenta de servicio deberá agregarse a los siguientes grupos de seguridad en el controlador de dominio de Windows para que la cuenta de servicio tenga acceso a WinRM WMI y:

  • Usuarios distribuidos COM
  • Lectores de registro de eventos
  • Usuarios de administración remota
  • Operadores de servidor
  • WinRMRemoteWMIUsers__ grupo

Además, si desea obtener datos a WMI través de WinRM, la cuenta de servicio necesitará acceso para leer el espacio de nombres CIMV2 en los controladores de dominio. Para obtener más información sobre el espacio de nombres CIMV2, eche un vistazo a Configurar una cuenta de servicio para el agente de PAN-OS ID usuario integrado.

 

 

 

 



Additional Information


Si está ejecutando Windows Server 2016, es posible que falte el siguiente grupo local integrado "WinRMRemoteWMIUsers__ grupo". Si falta el grupo, póngase en contacto con el soporte técnico de Microsoft en la asistencia para agregar el grupo.  

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VUICA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language