訪問被拒絕 WinRM 錯誤程式碼 5

我們正在嘗試在我們的環境中設置 Windows 事件轉發 (WEF)，但遇到了一些問題。我們設置了一個 GPO（如下所示）以啟用將事件轉發到本地收集伺服器，並且我們配置了連接伺服器。收集器機器顯示為已正確訂閱，但我們正在測試的另一台機器未連接到收集伺服器。

在無法轉發日誌的源機器上，我們在Application and Services Logs -> Microsoft -> Windows -> Eventlog ForwardingPlugin下看到以下錯誤

The forwarder is having a problem communicating with subscription manager at address 
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.  
Error code is 5 and Error Message is 
<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.

在收集器機器上，我們在Application and Services Logs -> Microsoft -> Windows -> Windows Remote Management -> Operational下看到以下錯誤

The authorization of the user failed with error 5

有關收集器伺服器錯誤的更多詳細資訊：

Source: Windows Remote Managment
Event ID: 192
Level: Information       Task Category: User Authorization
User: Network Service    Keywords: Security,Server
OpCode: Informational    Computer: Collector.corp.company.com

正在申請的 GPO：

好的，經過大量閱讀和研究，我似乎發現了一些有用的東西。具體來說，問題在於正在使用的頻道訪問令牌。此令牌的值應為：

O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

應該為Computer Configuration -> Administrative Templates -> Windows Components -> Event Log Service -> Security設置此值。在我們的例子中，我在上面顯示的系統資料庫設置中使用了相同的值。

關鍵是添加(A;;0x1;;;S-1-5-20)到末尾而不是(A;;0x1;;;NS)

以下是我發現/用於使其正常工作的一些有用連結：

• https://support.logbinder.com/SuperchargerKB/50119/3-Troubleshooting-a-Problem-Forwarder
• https://forum.logbinder.com/Topic136-2.aspx
• https://apps.nsa.gov/iaarchive/library/reports/spotting-the-adversary-with-windows-event-log-monitoring.cfm
• https://github.com/ukncsc/lme

希望這會幫助其他一些人，因為這對我們來說是一種痛苦。

引用自：https://serverfault.com/questions/1017872