ECSS Modulo 2 - Exercise 3

Lab: RBAC no Windows Admin Center

Roteiro adaptado para os ambientes isolados student01 a student08 da Megatraining.

Lab M2

Cenario

O Windows Admin Center (WAC) fornece uma console web para administrar servidores e estacoes Windows. Neste laboratorio, cada aluno usa sua maquina Windows 11 como estacao administrativa e adiciona o Windows Server do proprio ambiente ao WAC.

Em seguida, o aluno aplica RBAC para limitar as acoes do usuario john, validando que ele consegue visualizar configuracoes, mas nao consegue executar uma alteracao administrativa.

Ambiente

Dominio
ECSS.LOCAL
Conta admin
ECSS\labjoin
Aluno
student01 a student08
Admin VM
Student_W11
Servidor
STUDENTxx-DC

Objetivos

  • Instalar ou abrir o Windows Admin Center no Windows 11 do aluno.
  • Adicionar o Windows Server do mesmo ambiente ao WAC usando a conta ECSS\labjoin.
  • Aplicar Role-Based Access Control no servidor gerenciado.
  • Criar ou validar o usuario john e atribui-lo ao papel de leitura do WAC.
  • Comprovar que o acesso limitado bloqueia a criacao de um VHD.
  • Registrar a versao do Windows Server exibida pelo WAC.

Mapa dos Alunos

Aluno Windows 11 Windows Server Nome esperado do DC
student01 lab-student01-win11 / Student_W11 lab-student01-winsrv STUDENT01-DC
student02 lab-student02-win11 / Student_W11 lab-student02-winsrv STUDENT02-DC
student03 lab-student03-win11 / Student_W11 lab-student03-winsrv STUDENT03-DC
student04 lab-student04-win11 / Student_W11 lab-student04-winsrv STUDENT04-DC
student05 lab-student05-win11 / Student_W11 lab-student05-winsrv STUDENT05-DC
student06 lab-student06-win11 / Student_W11 lab-student06-winsrv STUDENT06-DC
student07 lab-student07-win11 / Student_W11 lab-student07-winsrv STUDENT07-DC
student08 lab-student08-win11 / Student_W11 lab-student08-winsrv STUDENT08-DC

Cada aluno deve trabalhar somente nas suas duas maquinas. As redes de laboratorio sao isoladas por aluno, portanto nomes e enderecos internos podem se repetir sem interferir nos demais ambientes.

  1. No Guacamole, abra a conexao studentXX - Windows 11.
  2. Entre com a conta do dominio fornecida pelo instrutor.
  3. Confirme que a maquina consegue resolver e acessar o servidor do mesmo aluno.
whoami
hostname
ping STUDENTXX-DC

Substitua XX pelo numero do seu aluno, por exemplo STUDENT02-DC.

  1. No Windows 11, abra o Microsoft Edge.
  2. Se o WAC ja estiver instalado, acesse https://localhost:6516.
  3. Se nao estiver instalado, execute o instalador do Windows Admin Center disponibilizado pelo instrutor.
  4. Aceite os termos, mantenha as opcoes padrao do gateway e conclua a instalacao.
  5. Quando o navegador pedir certificado, aceite o certificado local do WAC.
O WAC deve ficar dentro do laboratorio e nao deve ser exposto diretamente na Internet.

  1. Na pagina inicial do WAC, clique em + Add.
  2. Em Windows Server, clique em Add.
  3. No campo de servidor, informe STUDENTXX-DC.
  4. Escolha Use another account for this connection.
  5. Use ECSS\labjoin e a senha informada pelo instrutor.
  6. Clique em Add with credentials. Se aparecer a pergunta para salvar senha, escolha Never.

Ao abrir o servidor, o painel deve mostrar ferramentas como Overview, Events, Files, Firewall, Local users and groups, PowerShell, Remote Desktop, Roles and features, Services e Storage.

  1. No WAC, abra a ferramenta PowerShell do servidor.
  2. Execute os comandos abaixo para garantir que o usuario john existe no dominio.
$password = ConvertTo-SecureString "SenhaDoAluno" -AsPlainText -Force
if (-not (Get-ADUser -Filter "SamAccountName -eq 'john'" -ErrorAction SilentlyContinue)) {
    New-ADUser -Name "John Reader" `
        -SamAccountName "john" `
        -UserPrincipalName "john@ECSS.LOCAL" `
        -AccountPassword $password `
        -Enabled $true `
        -PasswordNeverExpires $true
}

Use a senha indicada pelo instrutor para SenhaDoAluno. O objetivo e testar RBAC, nao memorizar senhas complexas durante o exercicio.

  1. No servidor conectado pelo WAC, clique em Settings.
  2. Abra Role-based Access Control.
  3. Clique em Apply.
  4. Quando o WAC solicitar reinicio do WinRM, clique em Yes.
  5. Aguarde a aplicacao do RBAC. O processo pode levar alguns minutos.
  6. Atualize a conexao e confirme que o status aparece como Applied.

O RBAC do WAC usa endpoints Just Enough Administration para entregar permissoes limitadas sem conceder acesso administrativo total ao usuario.

  1. No WAC, abra Local users and groups ou a ferramenta equivalente disponivel para o DC.
  2. Localize o usuario john.
  3. Abra Manage membership.
  4. Remova a associacao comum de usuario quando aplicavel.
  5. Adicione Windows Admin Center Readers.
  6. Salve e aguarde a notificacao de sucesso.
Em controlador de dominio, os grupos podem aparecer como objetos do dominio. O resultado esperado e que john fique com acesso de leitura no WAC, sem permissao para mudancas administrativas.

  1. Volte para a pagina inicial do WAC.
  2. Selecione o servidor STUDENTXX-DC.
  3. Clique em Manage as.
  4. Entre como ECSS\john usando a senha definida para o lab.
  5. Abra novamente o servidor. A interface deve indicar acesso limitado.
  6. Abra Storage e tente criar um VHD.
Campo Valor de teste
VHD folder pathC:\TestFolder
New VHD file nametest
File extensionvhd
Size1 GB
TypeFixed

Resultado esperado: o WAC deve bloquear a criacao do VHD com mensagem indicando que a operacao foi bloqueada pelas configuracoes de RBAC.

Evidencias obrigatorias

  • Print do WAC com o servidor STUDENTXX-DC adicionado.
  • Print do status RBAC como Applied.
  • Print do usuario john com o papel Windows Admin Center Readers.
  • Print do erro ao tentar criar o VHD como ECSS\john.

Questao 2.3.1

No Windows Admin Center, adicione o Windows Server do seu ambiente, aplique RBAC e atribua acesso limitado ao usuario john. Qual e a versao do Windows Server exibida no painel do WAC?

Resumo do Conceito

RBAC reduz risco operacional porque separa a capacidade de visualizar informacoes da capacidade de alterar configuracoes. No WAC, usuarios administradores continuam com acesso amplo, enquanto usuarios associados aos papeis de leitura recebem uma experiencia limitada.

Para defensores de rede, esse controle ajuda a aplicar minimo privilegio, melhorar rastreabilidade e reduzir impacto de credenciais comprometidas.