AZ-802 Chương 14 5 Labs Ngày tạo: 22/05/2026

Windows LAPS, JEA và Privileged Access

Bảo vệ tài khoản quản trị local, phân quyền tối thiểu, Just Enough Administration và mô hình tiered admin.

Thông tin thực hành

Exam: AZ-802 — Windows Server Hybrid Administrator

Ngày tạo: 22/05/2026

Nền tảng: Windows Server 2022/2025 lab, Windows 11, Azure, WAC

Ưu tiên: PowerShell/CLI trước, GUI là cách 02

Lý thuyết gắn gọn

Windows LAPS

Windows LAPS quản lý mật khẩu local administrator trên máy domain-joined hoặc Entra-joined. Mật khẩu được xoay tự động và lưu an toàn.

JEA

Just Enough Administration cấp quyền quản trị giới hạn theo task thay vì cấp full admin. Người vận hành chỉ được chạy command cần thiết trong endpoint được kiểm soát.

Tiered admin model

Tiered admin model tách quyền quản trị theo tầng: Tier 0 cho identity, Tier 1 cho server, Tier 2 cho workstation. Mục tiêu là giảm khả năng attacker leo thang quyền.

Privileged access

Privileged access là quyền quản trị cao, cần bảo vệ bằng MFA, PAW, logging, least privilege và quy trình phê duyệt.

Audit admin activity

Audit hoạt động admin giúp phát hiện thao tác bất thường và phục vụ điều tra sự cố. Cần ghi nhận đăng nhập, thay đổi group, thay đổi GPO và truy cập server quan trọng.

Ghi chú tình huống doanh nghiệp

  • Không áp cấu hình trực tiếp lên production. Dùng OU/lab server/snapshot trước.
  • Ưu tiên PowerShell để lặp lại được, audit được và dùng trong automation.
  • GUI/WAC/Server Manager dùng để đối chiếu, vận hành hoặc đào tạo người mới.
  • Mỗi lab cần có evidence: output lệnh, Event Log, screenshot hoặc trạng thái Azure resource.

Bài tập lab step-by-step

LAB-066 PowerShell Windows Server Windows Admin Center

Cấu hình Windows LAPS

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-067 PowerShell Windows Server Windows Admin Center

Tạo JEA endpoint

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-068 PowerShell Windows Server Windows Admin Center

Thiết kế tiered admin model

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-069 PowerShell Windows Server Windows Admin Center

Audit privileged group membership

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
New-ADOrganizationalUnit -Name IT -Path 'DC=corp,DC=contoso,DC=local'
New-ADUser -Name 'User01' -SamAccountName user01 -Enabled $true -AccountPassword (Read-Host -AsSecureString)
New-ADGroup -Name 'GG-IT-Admins' -GroupScope Global

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

LAB-070 PowerShell Windows Server Windows Admin Center

Tạo PAW checklist

Nền tảng thực hành: PowerShell, Windows Server, Windows Admin Center

Terminal: Windows Terminal / PowerShell 7; CMD nếu lab yêu cầu; Linux/macOS Terminal chỉ dùng cho Azure CLI từ máy quản trị.

Phiên bản: Windows Server 2022 hoặc 2025 lab, Windows 11 admin workstation, Windows Admin Center latest, Azure CLI 2.x, Az PowerShell 12.x+. Ngày tạo: 22/05/2026.

Cách 01 — PowerShell / CLI ưu tiên

  1. Mở PowerShell Administrator hoặc Group Policy Management.
  2. Xác định baseline/security policy cần áp dụng.
  3. Cấu hình policy/feature/security control theo lab.
  4. Kiểm tra bằng PowerShell và Event Viewer.
  5. Ghi lại trạng thái trước/sau hardening.
  6. Tạo rollback plan trước khi áp dụng rộng.
  7. Đối chiếu bằng Windows Security/WAC/Portal nếu phù hợp.
  8. Cleanup cấu hình demo nếu cần.
PowerShell / CLI mẫu
Get-ComputerInfo | Select-Object CsName,WindowsProductName,OsVersion
Get-Service | Select-Object -First 10
Get-EventLog -LogName System -Newest 10

Cách 02 — GUI / Windows Admin Center / Server Manager / Azure Portal

  1. Mở Windows Admin Center, Server Manager/MMC hoặc Azure Portal tùy lab.
  2. Chọn đúng server, role hoặc Azure resource lab.
  3. Tạo/cấu hình theo nội dung lab.
  4. Mở Overview, Event Viewer, Activity Log hoặc Monitoring để kiểm tra.
  5. Chụp screenshot cấu hình chính.
  6. Cleanup nếu không dùng.
Kiểm tra kết quả

Có output PowerShell/CLI, screenshot GUI/WAC/Portal hoặc Event Log chứng minh cấu hình hoạt động đúng.

Cleanup

Xóa VM, Resource Group, GPO/object demo, vault, policy assignment hoặc cấu hình lab nếu không còn dùng.

← Chương trước Chương sau →
Zalo