Privileged Access Manager (以下、 PAM) の管理者が リモートの Windows 環境を PAM Proxy Agent でローカルアカウントを管理している。

管理者はパスワードの検証はできますが、パスワードのローテーションを行うと以下のエラーが発生する。

PAM-CM-1122: Proxy unable to access host. 

Privielged Access Manager: 4.1.X

ターゲットデバイスの User アクセス制御の設定が PAM Proxy Agent からのWindows API の呼び出しが許可されていないことが原因で発生していました。

Windows リモート ターゲット コネクタ と同じです。

Windows リモート ターゲット コネクタの追加もご参照ください。

以下のリモートからのSMB実行を許可するために 以下のレジストリの設定が必要です。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = dword:00000001

同様に ローカル セキュリティポリシーで "ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する" は無効にしておく必要があります。

なお、本KBは以下の英文 KB を翻訳し補足しました。

Article ID: 217077: PAM-CM-1122: Proxy unable to access host error from Windows Proxy Agent