Como o encaminhamento de eventos do Windows funciona com computadores que não são de domínio? (certificados)

Ao pesquisar novamente essa questão, examinei os documentos a seguir e nenhum deles descreve as opções ou a flexibilidade do serviço do coletor de eventos.

• Serviço Coletor de Eventos no Technet da Microsoft (muito processual , Estou apenas procurando como funciona)
• Assinatura iniciada por fonte (novamente, não uma visão geral de como funciona)
• Este guia de configuração de terceiros (omite computadores sem domínio)

O cenário que estou tentando abordar é

• Muitos computadores que não são do domínio precisam enviar eventos para um servidor central para análise e geração de relatórios
• O transporte preferido é HTTP ou HTTPS
• O serviço precisa ser autenticado antes de ser enviado com um nome de usuário / senha ou um certificado
• O servidor deve permitir até 1.000 nomes de usuário ou certificados para controlar quem pode encaminhar eventos. O servidor deve poder determinar quem enviou o evento.
• Os usuários não podem "falsificar" um evento para outro usuário localizado no mesmo servidor agregado

Suponho que posso usar o violinista para descobrir como o servidor realmente funciona e escrever meu próprio respondedor HTTP para lidar com essas respostas (e usar meu aplicativo em vez do WinRM para receber os dados), mas manipular máquinas não relacionadas ao domínio é não documentado claramente.

Alguém poderia me ajudar a entender como funcionam os cenários fora do domínio, como deve ser o certificado (EKU etc.) e, idealmente, o que é necessário para usar meu próprio código no lugar do WinRM padrão