La cuenta de servicio dedicada requiere grupos de seguridad de Active Directory para el usuario sin agente de WinRM:ID
Symptom
Al configurar usuario sin agente- ID en PanOS mediante WinRM, si la cuenta de servicio no forma parte de los administradores de dominio, se producirá un error en la cuenta de servicio como el acceso se denegará al servicio WinRM debido a un problema de permisos. El siguiente error se verá en el firewall en el useridd.log:
failed to connect to winrm server. HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied Connection failed. response code = 500, error: (null)
Environment
- Redes palo alto Firewall
- PanOS 9.0.x o superior
- Windows Server 2012 R2 y Windows Server 2016
Resolution
Si no desea o no puede agregar la cuenta de servicio dedicada al grupo Administradores de dominio de Windows o Administradores, la cuenta de servicio deberá agregarse a los siguientes grupos de seguridad en el controlador de dominio de Windows para que la cuenta de servicio tenga acceso a WinRM WMI y:
- Usuarios distribuidos COM
- Lectores de registro de eventos
- Usuarios de administración remota
- Operadores de servidor
- WinRMRemoteWMIUsers__ grupo
Además, si desea obtener datos a WMI través de WinRM, la cuenta de servicio necesitará acceso para leer el espacio de nombres CIMV2 en los controladores de dominio. Para obtener más información sobre el espacio de nombres CIMV2, eche un vistazo a Configurar una cuenta de servicio para el agente de PAN-OS ID usuario integrado.
Additional Information
Si está ejecutando Windows Server 2016, es posible que falte el siguiente grupo local integrado "WinRMRemoteWMIUsers__ grupo". Si falta el grupo, póngase en contacto con el soporte técnico de Microsoft en la asistencia para agregar el grupo.