Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
专用服务帐户需要WinRM无代理用户的主动目录安全组-ID - Knowledge Base - Palo Alto Networks

专用服务帐户需要WinRM无代理用户的主动目录安全组-ID

99547
Created On 05/26/21 23:30 PM - Last Modified 08/29/23 05:55 AM


Symptom


使用 WinRM 在 PanOS 上配置无代理用户时 ID ,如果服务帐户不是域管理员的一部分,则服务帐户将失败,因为由于权限问题,WinRM 服务的访问将被拒绝。 以下错误将在 firewall 使用中看到.log:

failed to connect to winrm server.
HTTP 500: s:Senderw:AccessDeniedAccess is denied. Access is Denied
Connection failed. response code = 500, error: (null)


Environment


  • 帕洛阿尔托网络 Firewall 
  • 帕诺斯 9.0.x 或以上
  • 视窗服务器 2012 R2 和视窗服务器 2016


Resolution


如果您不想或无法将专用服务帐户添加到 Windows 域管理器或管理员组,则服务帐户将需要添加到 Windows 域控制器上的以下安全组,才能访问 WinRM 和 WMI :

  • 分布式 COM 用户
  • 事件日志读取器
  • 远程管理用户
  • 服务器操作员
  • WinRMRemoteWMIUsers__组

此外,如果您想 WMI 通过 WinRM 获取数据,则服务帐户将需要访问域控制器上的 CIMV2 名称空间。 有关 CIMV2 名称空间的更多信息,请查看 PAN-OS 为集成用户 ID 代理配置服务帐户

 

 

 

 



Additional Information


如果您正在运行 Windows Server 2016,以下内置本地组可能会缺少"WinRMRemoteWMIUsers__组"。 如果组丢失,请让 Microsoft 支持部参与添加组的帮助。  

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VUICA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language