Privileged Access Manager (以下、 PAM) の管理者が リモートの Windows 環境を PAM Proxy Agent でローカルアカウントを管理している。
管理者はパスワードの検証はできますが、パスワードのローテーションを行うと以下のエラーが発生する。
PAM-CM-1122: Proxy unable to access host.
Privielged Access Manager: 4.1.X
ターゲットデバイスの User アクセス制御の設定が PAM Proxy Agent からのWindows API の呼び出しが許可されていないことが原因で発生していました。
Windows リモート ターゲット コネクタ と同じです。
Windows リモート ターゲット コネクタの追加もご参照ください。
以下のリモートからのSMB実行を許可するために 以下のレジストリの設定が必要です。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = dword:00000001
同様に ローカル セキュリティポリシーで "ユーザー アカウント制御: 管理者承認モードですべての管理者を実行する" は無効にしておく必要があります。
なお、本KBは以下の英文 KB を翻訳し補足しました。
Article ID: 217077: PAM-CM-1122: Proxy unable to access host error from Windows Proxy Agent