専用サービス アカウントには、WinRM エージェントレス ユーザーの Active Directory セキュリティ グループが必要でした。ID

WinRM を使用して PanOS でエージェントレス ユーザーを構成する場合 ID 、サービス アカウントがドメイン管理者の一部でない場合、アクセス許可の問題により WinRM サービスへのアクセスが拒否され、サービス アカウントは失敗します。 次のエラーは、 firewall ユーザー ID.log で表示されます。

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)

• パロアルトネットワークス Firewall 
• PanOS 9.0.x 以上
• 2012 年の R2 と Windows サーバー 2016

Windows ドメイン管理者グループまたは管理者グループに専用サービス アカウントを追加しない場合、サービス アカウントが WinRM にアクセスできるように、Windows ドメイン コントローラの次のセキュリティ グループにサービス アカウントを追加する必要があります WMI 。

• 分散 COM ユーザー
• イベント ログ リーダー
• リモート管理ユーザー
• サーバーオペレーター
• WinRMRemoteWMIUsers__グループ

さらに WMI 、WinRM を使用してデータを取得する場合は、サービス アカウントがドメイン コント ローラーの CIMV2 名前空間を読み取るためにアクセスする必要があります。 CIMV2 名前空間の詳細については、「統合ユーザー エージェントのサービス アカウントの構成 」を PAN-OS ID 参照してください。

Windows Server 2016 を実行している場合は、次の組み込みのローカル グループが "WinRMRemoteWMIUsers__ グループ" が見つからない可能性があります。 グループが見つからない場合は、グループを追加するための支援に Microsoft サポートを依頼してください。