Toon posts:

Account aanpassen via internet in meerdere netwerken (AD)

Pagina: 1
Acties:

zaterdag 10 oktober 2009 04:22

Acties:

Verwijderd

Topicstarter
Hoi, een vraag, omdat ik niet eens weet waar ik moet beginnen met zoeken.
Ik werk voor een IT bedrijf dat het beheer van een groot aantal klanten doet, on-site of remote.
Het idee is om de administrator account alleen lokaal te kunnen gebruiken of uit te schakelen en te werken bij elke klant met een administrator account "admin" (admin is even als voorbeeld hier)
Die naam is op elk netwerk hetzelfde.

Eerst even het probleem dat we hebben. Elke keer als er een van ons personeel weggaat, moeten overal bij elke klant wachtwoorden gewijzigd worden, met alle ellende van dien. Het zijn overigens alleen windows 2003 en 2008 netwerken met 100% AD.

Stel dat we een mechanisme hebben, een programma dat met een agent op de klant-server draait ofzo, dat automatisch alle klant-netwerk accounts "admin" hetzelfde wachtwoord geeft als we dat vanuit kantoor wijzigen, hoeven we bij vertrek van personeel alleen maar 1 keer het wachtwoord te veranderen.

Is zoiets te doen en waar moet ik beginnen met zoeken? Het moet uiteraard veilig zijn dus wachtwoorden moeten encrypted verstuur worden. De netwerken moeten volledig 100% gescheiden zijn.

zaterdag 10 oktober 2009 08:15

Acties:
  • SpamLame
  • Registratie: Augustus 2000
  • Laatst online: 07:46

SpamLame

niks

Ben niet los op AD, maar zit te denken aan een trust. Wellicht is dat te ingrijpend voor jullie (klanten).
Wat ik daarnaast gevonden heb is een script voorbeeld van Scripting Guy.
http://blogs.technet.com/...ge-a-user-s-password.aspx

Deze zou je aan kunnen aanpassen naar jou omgeving.

zaterdag 10 oktober 2009 08:36

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op zaterdag 10 oktober 2009 @ 04:22:
Stel dat we een mechanisme hebben, een programma dat met een agent op de klant-server draait ofzo, dat automatisch alle klant-netwerk accounts "admin" hetzelfde wachtwoord geeft als we dat vanuit kantoor wijzigen, hoeven we bij vertrek van personeel alleen maar 1 keer het wachtwoord te veranderen.

Is zoiets te doen en waar moet ik beginnen met zoeken? Het moet uiteraard veilig zijn dus wachtwoorden moeten encrypted verstuur worden. De netwerken moeten volledig 100% gescheiden zijn.
Ik zou in dat geval ook vooral eens gaan kijken naar een management suite waarmee je naast dit soort dingen ook je remote beheer mee kunt vergemakkeljken.

Denk aan licentiemanagement, controles op updates, kleine of grotere probleempjes op kunnen lossen, alerts en notificaties - kortom: meer proactief mangeent van je klantnetwerken.

Ik heb in het verleden goede ervaringen opgedaan met Kaseya wat dat betreft, maar er zijn voldoende alternatieven.
Voor wat voorbeelden wat je met een dergelijk pakket kan doen kun je de demos eens bekijken op http://www.kaseya.nl/.

Voor jouw concrete vraagstelling kun je dan met een agent een script voor al je in beheer zijnde domains distribueren wat een account disabled of anderszins - kwestie van een paar klikken, schedulen en laten runnen.

[ Voor 8% gewijzigd door alt-92 op 10-10-2009 08:42 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 12 oktober 2009 09:37

Acties:

Verwijderd

Topicstarter
Dat script heb ik wat aan SpamLame

Ik heb dus een soort agent nodig op al mijn netwerken die voor mij overal zo'n script uitvoert, nadat ik vanuit mijn kantoor maar 1 keer die opdracht geef.

alt-92: ik heb gekeken naar kaseya en het ziet er heel compleet uit, maar eigenlijk wat te compleet. Er zit ook een enorm prijskaart(je) aan, wat het voor een hoop kleine klanten niet haalbaar maakt.

Ik er ook een alternatief dat veel eenvoudiger is? Het gaat eigenlijk alleen maar om het uitvoeren van zo'n script via agents.

maandag 12 oktober 2009 09:43

Acties:
  • batsma
  • Registratie: April 2005
  • Niet online

batsma

laat je dit door je klanten betalen betalen dan?Het is toch voor jullie eigen automatisering, het scheelt jullie tijd/geld dus zouden jullie het imho ook zelf moeten dragen.

Volgens mij schaf je kaseya 1 keer aan om bij jullie te draaien, en dan per agent install een klein bedrag.

(PS. ik vind kaseya ook té uitgebreidt voor onze doeleinden)

maandag 12 oktober 2009 10:50

Acties:

Verwijderd

Topicstarter
batsma schreef op maandag 12 oktober 2009 @ 09:43:
laat je dit door je klanten betalen betalen dan?Het is toch voor jullie eigen automatisering, het scheelt jullie tijd/geld dus zouden jullie het imho ook zelf moeten dragen.

Volgens mij schaf je kaseya 1 keer aan om bij jullie te draaien, en dan per agent install een klein bedrag.

(PS. ik vind kaseya ook té uitgebreidt voor onze doeleinden)
Dat ligt aan de prijs, maar overal op internet staat dat het een fortuin kost en daarbij gaan we misschien maar 10% van het pakket gebruiken. Lijkt me zonde dus.

maandag 12 oktober 2009 11:58

Acties:
  • Cai
  • Registratie: December 2001
  • Laatst online: 29-01 14:41

Cai

Of je dit nu direct factureert of net. Het product, hoe mooi dan ook, verhoogt je standaard kostprijs (korte termijn), kan geen uitspraken doen of het op lange termijn je standaard kostprijs verlaagt door efficiency slagen. Maar het is wel degelijk van invloed op je verkoopprijs.

offtopic:
Daarnaast word ik kriegel van contructies dat je per agent betaald e.d. Hoe harder het bedrijf werkt en meer klanten binnenhaalt des te meer je afdraagt aan deze fabrikant. Oplossingen waarbij er eenmalig een (grotere) afdracht is geniet bij ons de voorkeur, omdat je marge exponentieel toeneemt.

[ Voor 1% gewijzigd door Cai op 12-10-2009 11:59 . Reden: Offtopic quotes verkeerd geplaatst ]

maandag 12 oktober 2009 12:46

Acties:
  • GeleFles
  • Registratie: Augustus 2001
  • Niet online

GeleFles

What's in a bottle?

Waarom 1 account waar iedereen gebruik van maakt?

Maak bij elke klant voor elke beheerder een eigen account aan. zodra diegene uit dienst gaat, account verwijderen/locken, en verder geen problemen.

Je moet het niet moeilijker maken dan het is ;)

maandag 12 oktober 2009 12:50

Acties:

Verwijderd

Topicstarter
RonnieB82 schreef op maandag 12 oktober 2009 @ 12:46:
Waarom 1 account waar iedereen gebruik van maakt?

Maak bij elke klant voor elke beheerder een eigen account aan. zodra diegene uit dienst gaat, account verwijderen/locken, en verder geen problemen.

Je moet het niet moeilijker maken dan het is ;)
dan moet je nog steeds bij al je klanten inloggen en de account locken, voordat je vertrekkende personeelslid dat doet.

maandag 12 oktober 2009 12:57

Acties:

Verwijderd

Topicstarter
Cai schreef op maandag 12 oktober 2009 @ 11:58:
Of je dit nu direct factureert of net. Het product, hoe mooi dan ook, verhoogt je standaard kostprijs (korte termijn), kan geen uitspraken doen of het op lange termijn je standaard kostprijs verlaagt door efficiency slagen. Maar het is wel degelijk van invloed op je verkoopprijs.

offtopic:
Daarnaast word ik kriegel van contructies dat je per agent betaald e.d. Hoe harder het bedrijf werkt en meer klanten binnenhaalt des te meer je afdraagt aan deze fabrikant. Oplossingen waarbij er eenmalig een (grotere) afdracht is geniet bij ons de voorkeur, omdat je marge exponentieel toeneemt.
Je moet het vergelijken met de kosten van het handmatig veranderen van al die wachtwoorden en dat een paar keer per jaar. Een pakket als hierboven is dan naar verhouding veel te duur, omdat daar van alles in zit wat wij niet gebruiken.

maandag 12 oktober 2009 13:36

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik noem het alleen als voorbeeld van een management suite waar je 'onder andere' die acties mee kan doen.
Ze hebben een MSP model, managed service provider - jij neemt als IT bedrijf het pakket af en biedt je te beheren klanten een servicecontract aan waarbij je die suite dan als management toolset gebruikt.
Dan moet je business model daar natuurlijk wel voor geschikt zijn.

Als je zelf al een eigen collectie tools hebt waar je je beheer mee doet + inzicht geeft in licentiegebruik e.d. en behoeve van rapportages, prima.
Als het je gaat om enkel het resetten/activeren/deactiveren van je beheeraccounts zonder dat je een continu verbinding hebt met je klantnetwerk, dan zal je altijd omwegen moeten bewandelen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 13 oktober 2009 08:29

Acties:

Verwijderd

Topicstarter
ok, nog een idee:

stel dat ik dit wil uitvoeren via SSH of eventueel telnet:

here’s a script that changes the password for the kenmyer user account in the domain fabrikam.com:
Set objUser = GetObject(LDAP://cn=KenMyer,ou=Finance,dc=fabrikam,dc=com)
objUser.SetPassword("i5A2sj*!")

ik forward de port naar de bewuste domain controller (ik weet dat dit geheel tegen beveiligings normen en waarden is :) ), zou dit dan werken in theorie?

Ik kan me haast niet voorstellen dat er niemand is die zoiets ooit geschreven heeft als applicatie.

Zelfs Netbus uit 1998 kon over via internet een cd laadje openen...

dinsdag 13 oktober 2009 08:55

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

dan kan je toch net zo goed met RD inloggen en het password veranderen?
En telnet :') nee, sorry.

Die applicatie waar je het over hebt noemen ze dan een agent/client van je control center.
Maar het staat je vrij om overal een trojan te installeren hoor, zonder dat je klanten dat weten.
Ik vind het alleen van weinig professionaliteit (mind het forum wat je dit neerzet) getuigen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 13 oktober 2009 12:10

Acties:
  • Cai
  • Registratie: December 2001
  • Laatst online: 29-01 14:41

Cai

Los van de oplossingen snap ik de reden waarom je de wachtwoorden wilt wijzigen niet.

Je klant stel je op de hoogte dat er personeelswijzigingen zijn, indien de betreffende werknemer On-site kwam. Deze zullen hem de toegang tot het pand ontzeggen.

Als je remote gebruik maakt van IP-Sec VPN en je zorgt dat de shared-secrets alleen bekend zijn vanaf directie niveau en dat OWA mail voor administrator uitgeschakeld is. Op deze manier hoef je niet de admin wachtwoorden te wijzigen.

dinsdag 13 oktober 2009 14:11

Acties:

Verwijderd

Topicstarter
Cai schreef op dinsdag 13 oktober 2009 @ 12:10:
Los van de oplossingen snap ik de reden waarom je de wachtwoorden wilt wijzigen niet.

Je klant stel je op de hoogte dat er personeelswijzigingen zijn, indien de betreffende werknemer On-site kwam. Deze zullen hem de toegang tot het pand ontzeggen.

Als je remote gebruik maakt van IP-Sec VPN en je zorgt dat de shared-secrets alleen bekend zijn vanaf directie niveau en dat OWA mail voor administrator uitgeschakeld is. Op deze manier hoef je niet de admin wachtwoorden te wijzigen.
Zoals bij bijna elke kleine IT dienstverlener, werken alle on-site techs voor alle klanten op locatie. Het is niet te doen voor een klein klantje een vaste medewerker te reserveren en als er een server plat gaat, moet je maar net iemand hebben die tijd heeft of kan maken. Daarnaast wordt veel werk ook op afstand al-dan-niet vanuit thuis gedaan voor de klant.
Je kunt alles wel dichtschroeven, maar dan kun je alleen vanuit je eigen kantoor, met maar een beperkt aantal van je team, voor een klant iets doen.

Nogmaals, het idee was de administrator account alleen lokaal te laten werken en een aparte admin account te maken voor remote beheer.
Het probleem is alleen als je 10 man personeel hebt dat van al je 200 klanten de wachtwoorden kan meenemen bij vertrek, je een hele hoop werk hebt om eventjes bij je 200 netwerken in te loggen en de wachtwoorden te veranderen. Dit krijg je ook nog eens niet betaald natuurlijk. Daarnaast zit je ook met een tijdsprobleem. Tegen de tijd dat je halvewege bent, ben je al 2 dagen verder en kan er allerlij ellende veroorzaakt zijn. Je hebt dan je wachtwoord gewijzigd, maar je ex-personeelslid heeft 2 uur daarvoor snel even een verstopte admin gebruiker ertussen gezet.

Telnet was maar een theoretisch voorbeeld en zoals aan mijn smily te zien was, zou ik dat ook niet zomaar open zetten.
Ik heb wel een mogelijkheid tot Powershell over SSH gezien, maar dat is nog steeds veel te omslachtig om even 200 keer te doen.
Ook netbus zou ik niet zomaar installeren, ik ben niet achterlijk, maar het is om aan te geven dat het toen al heel simpel kon en ik me niet kan voorstellen dat er niets iets simpels voor geschreven is door iemand.

dinsdag 13 oktober 2009 14:44

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op dinsdag 13 oktober 2009 @ 14:11:

Nogmaals, het idee was de administrator account alleen lokaal te laten werken en een aparte admin account te maken voor remote beheer.
De Default Administrator account blijft ongebruikt, disabled, en het wachtwoord ligt in de kluis van de dikkedeur. Wat vind je daarvan?
Het probleem is alleen als je 10 man personeel hebt dat van al je 200 klanten de wachtwoorden kan meenemen bij vertrek, je een hele hoop werk hebt om eventjes bij je 200 netwerken in te loggen en de wachtwoorden te veranderen. Dit krijg je ook nog eens niet betaald natuurlijk. Daarnaast zit je ook met een tijdsprobleem. Tegen de tijd dat je halvewege bent, ben je al 2 dagen verder en kan er allerlij ellende veroorzaakt zijn. Je hebt dan je wachtwoord gewijzigd, maar je ex-personeelslid heeft 2 uur daarvoor snel even een verstopte admin gebruiker ertussen gezet.
Ah... maar je probeert nu een procedureel/menselijk probleem met technische middelen af te vangen.
Maar nogmaals: als dit handmatige verhaal + de eventuele risico's en damages je te duur wordt, dan is zo'n geautomatiseerde aanpak via een management pakket wat je a la tripwire bovendien ook een alert kan sturen als er account manipulaties plaatsvinden misschien toch z'n geld waard?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 19 oktober 2009 09:43

Acties:

Verwijderd

Volgens mij is het ADAM of ADFS framework hier een oplossing voor. En volgende maand brengt MS een nieuw framework uit (Geneva) en daar kan je dit ook mee doen.

Eventueel moet je eens kijken naar een ldap <=> AD synchronisatie. Dan zet je een locale LDAP bij jullie en synchroniseer via een internet/vpn verbinding de nodige accounts naar de AD's van de klant(en).

Grtz,
Thanis

maandag 19 oktober 2009 20:16

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op maandag 19 oktober 2009 @ 09:43:
Volgens mij is het ADAM of ADFS framework hier een oplossing voor. En volgende maand brengt MS een nieuw framework uit (Geneva) en daar kan je dit ook mee doen.
ADAM is nu ADLDS oftewel Lightweight Directory Services, en dat is niks meer dan een LDAP DB die erg veel op AD lijkt.

ADFS is niet een kwestie van 'even' opzetten overigens. Komt wel iets meer bij kijken, en eerlijk gezegd denk ik niet dat elke klant van TS daarop zal zitten wachten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 26 oktober 2009 14:32

Acties:
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Kun je niet een script maken dat een ssh / https verbinding maakt met 1 van jullie servers om het huidige wachtwoord op te halen en op de admin account in te stellen? Als je dat script eenmalig installeerd en bij geplande taken plaatst op de servers van je klanten hoef je alleen maar op 1 locatie het wachtwoord te veranderen.

[ Voor 5% gewijzigd door Joolee op 26-10-2009 14:32 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq