La cuenta de servicio dedicada requiere grupos de seguridad de Active Directory para el usuario sin agente de WinRM:ID

Al configurar usuario sin agente- ID en PanOS mediante WinRM, si la cuenta de servicio no forma parte de los administradores de dominio, se producirá un error en la cuenta de servicio como el acceso se denegará al servicio WinRM debido a un problema de permisos. El siguiente error se verá en el firewall en el useridd.log:

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)

• Redes palo alto Firewall 
• PanOS 9.0.x o superior
• Windows Server 2012 R2 y Windows Server 2016

Si no desea o no puede agregar la cuenta de servicio dedicada al grupo Administradores de dominio de Windows o Administradores, la cuenta de servicio deberá agregarse a los siguientes grupos de seguridad en el controlador de dominio de Windows para que la cuenta de servicio tenga acceso a WinRM WMI y:

• Usuarios distribuidos COM
• Lectores de registro de eventos
• Usuarios de administración remota
• Operadores de servidor
• WinRMRemoteWMIUsers__ grupo

Además, si desea obtener datos a WMI través de WinRM, la cuenta de servicio necesitará acceso para leer el espacio de nombres CIMV2 en los controladores de dominio. Para obtener más información sobre el espacio de nombres CIMV2, eche un vistazo a Configurar una cuenta de servicio para el agente de PAN-OS ID usuario integrado.

Si está ejecutando Windows Server 2016, es posible que falte el siguiente grupo local integrado "WinRMRemoteWMIUsers__ grupo". Si falta el grupo, póngase en contacto con el soporte técnico de Microsoft en la asistencia para agregar el grupo.