专用服务帐户需要WinRM无代理用户的主动目录安全组-ID

使用 WinRM 在 PanOS 上配置无代理用户时 ID ，如果服务帐户不是域管理员的一部分，则服务帐户将失败，因为由于权限问题，WinRM 服务的访问将被拒绝。 以下错误将在 firewall 使用中看到.log：

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)

• 帕洛阿尔托网络 Firewall 
• 帕诺斯 9.0.x 或以上
• 视窗服务器 2012 R2 和视窗服务器 2016

如果您不想或无法将专用服务帐户添加到 Windows 域管理器或管理员组，则服务帐户将需要添加到 Windows 域控制器上的以下安全组，才能访问 WinRM 和 WMI ：

• 分布式 COM 用户
• 事件日志读取器
• 远程管理用户
• 服务器操作员
• WinRMRemoteWMIUsers__组

此外，如果您想 WMI 通过 WinRM 获取数据，则服务帐户将需要访问域控制器上的 CIMV2 名称空间。 有关 CIMV2 名称空间的更多信息，请查看 PAN-OS 为集成用户 ID 代理配置服务帐户。

如果您正在运行 Windows Server 2016，以下内置本地组可能会缺少"WinRMRemoteWMIUsers__组"。 如果组丢失，请让 Microsoft 支持部参与添加组的帮助。