专用服务帐户需要WinRM无代理用户的主动目录安全组-ID
99547
Created On 05/26/21 23:30 PM - Last Modified 08/29/23 05:55 AM
Symptom
使用 WinRM 在 PanOS 上配置无代理用户时 ID ,如果服务帐户不是域管理员的一部分,则服务帐户将失败,因为由于权限问题,WinRM 服务的访问将被拒绝。 以下错误将在 firewall 使用中看到.log:
failed to connect to winrm server. HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied Connection failed. response code = 500, error: (null)
Environment
- 帕洛阿尔托网络 Firewall
- 帕诺斯 9.0.x 或以上
- 视窗服务器 2012 R2 和视窗服务器 2016
Resolution
如果您不想或无法将专用服务帐户添加到 Windows 域管理器或管理员组,则服务帐户将需要添加到 Windows 域控制器上的以下安全组,才能访问 WinRM 和 WMI :
- 分布式 COM 用户
- 事件日志读取器
- 远程管理用户
- 服务器操作员
- WinRMRemoteWMIUsers__组
此外,如果您想 WMI 通过 WinRM 获取数据,则服务帐户将需要访问域控制器上的 CIMV2 名称空间。 有关 CIMV2 名称空间的更多信息,请查看 PAN-OS 为集成用户 ID 代理配置服务帐户。
Additional Information
如果您正在运行 Windows Server 2016,以下内置本地组可能会缺少"WinRMRemoteWMIUsers__组"。 如果组丢失,请让 Microsoft 支持部参与添加组的帮助。