Compte de service dédié requis Groupes de sécurité Active Directory pour WinRM Sans agent utilisateur-ID
Symptom
Lors de la configuration de l’utilisateur sans agent ID sur PanOS à l’aide de WinRM, si le compte de service ne fait pas partie des administrateurs de domaine, le compte de service échoue car l’accès au service WinRM sera refusé en raison d’un problème d’autorisation. L’erreur suivante s’affiche sur firewall le dans le useridd.log :
failed to connect to winrm server. HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied Connection failed. response code = 500, error: (null)
Environment
- Réseaux Palo Alto Firewall
- PanOS 9.0.x ou version supérieure
- Windows Server 2012 R2 et Windows Server 2016
Resolution
Si vous ne souhaitez pas ou ne pouvez pas ajouter le compte de service dédié au groupe Administrateurs ou Administrateurs du domaine Windows, le compte de service doit être ajouté aux groupes de sécurité suivants sur le contrôleur de domaine Windows pour que le compte de service ait accès à WinRM et WMI :
- Utilisateurs distribués COM
- Lecteurs de journaux d'événements
- Utilisateurs de la gestion à distance
- Opérateurs de serveur
- WinRMRemoteWMIUsers__ groupe
En outre, si vous souhaitez obtenir WMI des données via WinRM, le compte de service aura besoin d’un accès pour lire l’espace de noms CIMV2 sur les contrôleurs de domaine. Pour plus d’informations sur l’espace de noms CIMV2, consultez Configurer un compte de service pour PAN-OS ID l’agent utilisateur intégré.
Additional Information
Si vous exécutez Windows Server 2016, le groupe local intégré suivant peut manquer « groupe WinRMRemoteWMIUsers__ ». Si le groupe est manquant, veuillez impliquer le Support Microsoft sur l’assistance pour ajouter le groupe.