Beleid wachtwoord weten van gebruikers door IT

Probeer zoveel als mogelijk te automatiseren bijv. Met (logon)scripts (wij gebruiken hiervoor bij RES). De instellingen kunnen dan per gebruiker ingeladen worden.

Gebruik een configuration management tool om zoveel mogelijk systeem instellingen / software te pushen. (Bijv. Ansible, puppet, salt, sccm, gpo).

Wij gebruiken overigens ansible icm chocolatey (package manager voor windows).

[ Voor 11% gewijzigd door powerboat op 10-05-2018 12:20 ]

• GPO met wat startup/shutdown/login/logout scripts (en application mgmt via MSI's, al dan niet met Orca)?
• PowerShell 5 DSC?

Ik start normaal alle Windows computers op d.m.v. WOL, waar ze 's-nachts om 05:00 automatisch de laatste updates binnenhalen (policy op 05:15). Om 06:15 worden de PC's uitgezet.

Ik wil geen passwords van gebruikers kennen. Dat is nergens voor nodig als IT-er. Twee gebruikers in het Windows domain: piet en piet-admin. Waar piet een gewone gebruiker is, en piet-admin kan gebruiken voor privilege escallation.

Shift + Rechter muisknop --> Run as...

Als je moet inloggen als iedere specifieke gebruiker, dan doe je iets mis. Laat SYSTEM zijn werk doen met GPO's. 100% vol automatische installatie.

[ Voor 4% gewijzigd door Verwijderd op 10-05-2018 17:17 . Reden: MSI / Orca ]

Wachtwoord van gebruiker hebben is bij ons ook not done. Voor zulk soort dingen heb je een testaccount en anders meekijken met gebruiker (Teamviewer). Dan kan de gebruiker zien wat we doen.

TeamViewer valt buiten mijn eisen. Een gebruiker kan w.d.b. ook een VNC server starten (daar is genoeg OSS VNC voor, b.v. TightVNC). Dan beslist de gebruiker wanneer admins kunnen meekijken. RDP gebruik ik wanneer ik zelf wil testen hoe een PC functioneert (als piet of piet-admin, of een testgebruiker).

powerboat schreef op donderdag 10 mei 2018 @ 12:17:
Wij gebruiken overigens ansible icm chocolatey (package manager voor windows).

Zo leer ik ook nog iets! Ik doe al lang niets meer met Windows, maar Chocolatey ziet er leuk uit!

Ik doe router, switch, voip, server en client CM (configuration management) met Ansible.

Zelfs TeamViewer is nog te hoog gegrepen voor sommige gebruikers om aan te klikken. Recente Windows-edities kan je via Remote Assistance overnemen en hoeft de gebruiker alleen maar op "Ja" te klikken.

@Al Capino de manier van werken klinkt wel heel erg Windows '95; ik zou e.e.a. met de directeur gaan bespreken. Dit kan gewoonweg zo niet; jij bent vreselijk inefficient bezig en tegelijkertijd zijn er dus blijkbaar 0 processen die "ICT" moeten faciliteren.

Kan je als beheerder het wachtwoord van een gebruiker niet resetten? Dan moet ie een nieuw ingeven maar dat zou je ook zelf kunnen doen om je werk te kunnen doen.

Daarna reset je nog eens en dan laat je de gebruiker een nieuw wachtwoord ingeven.

Ben zelf geen beheerder dus misschien zeg ik wel iets doms.

Wozmro schreef op donderdag 10 mei 2018 @ 17:22:

dus misschien zeg ik wel iets doms.

Yup...

Dan belast je de gebruikers met de onkunde van de beheerder.

Ik reset alleen wachtwoorden als gebruikers voor mijn neus staan. Handig als de gebruiker op zakenreis is, dan kan die nergens meer bij (hoe draag je 'secure' het wachtwoord over? niet!).

[ Voor 64% gewijzigd door Verwijderd op 10-05-2018 17:25 ]

MAX3400 schreef op donderdag 10 mei 2018 @ 17:23:
[...]

Yup...

In plaats van lullig te doen zou je ook kunnen uitleggen waarom het volgens jou dom zou zijn.

Hahn schreef op donderdag 10 mei 2018 @ 17:24:
[...]

In plaats van lullig te doen zou je ook kunnen uitleggen waarom het volgens jou dom zou zijn.

Als ik dat nog moet uitleggen... Zeker aan een non-beheerder/IT'er...

MAX3400 schreef op donderdag 10 mei 2018 @ 17:27:
[...]

Als ik dat nog moet uitleggen... Zeker aan een non-beheerder/IT'er...

Vooral anderen niet wijzer maken dan dat ze zijn, daar wordt iedereen beter van.

Ik snap niet wat je probeert te bereiken met deze houding. Iemand geeft een suggestie, maar geeft ook aan dat 'ie er niet veel verstand van heeft en het dus mogelijk fout heeft. Jij weet er blijkbaar meer vanaf (of in ieder geval geef je die indruk), leg het dan ook uit, zodat hij en anderen er wat van opsteken, in plaats van de elitaire systeembeheerder uit te hangen.

[ Voor 31% gewijzigd door Hahn op 10-05-2018 17:32 ]

Wozmro schreef op donderdag 10 mei 2018 @ 17:22:
Kan je als beheerder het wachtwoord van een gebruiker niet resetten? Dan moet ie een nieuw ingeven maar dat zou je ook zelf kunnen doen om je werk te kunnen doen.

Daarna reset je nog eens en dan laat je de gebruiker een nieuw wachtwoord ingeven.

Ben zelf geen beheerder dus misschien zeg ik wel iets doms.

Klopt, je zou bijvoorbeeld een tijdelijk wachtwoord kunnen instellen en aan kunnen geven dat de gebruiker een nieuw wachtwoord moet kiezen bij opnieuw inloggen. Zeker geen stomme gedachte hoor, het is alleen wel vaak een gedoe voor de gebruiker, maar daarvoor moet je eerst voor op een SD hebben gewerkt.

Beter is inderdaad zoveel mogelijk scripts, admin/beheer-account, werken via remote machines/via cloud (kun je PC's inwisselen bij problemen), .. zoveel keuzes - maar het ligt ook wel aan het budget dat er is en de kennis.

[ Voor 4% gewijzigd door HollowGamer op 10-05-2018 17:35 ]

HollowGamer schreef op donderdag 10 mei 2018 @ 17:34:
Klopt, je zou bijvoorbeeld een tijdelijk wachtwoord kunnen instellen en aan kunnen geven dat de gebruiker een nieuw wachtwoord moet kiezen bij opnieuw inloggen.

Wachtwoord veranderen zodra gebruiker inlogt vereist dat de gebruiker het wachtwoord weet. Als je het wachtwoord aangepast hebt lukt dat niet meer.

Verwijderd schreef op donderdag 10 mei 2018 @ 17:12:
TeamViewer valt buiten mijn eisen. Een gebruiker kan w.d.b. ook een VNC server starten (daar is genoeg OSS VNC voor, b.v. TightVNC). Dan beslist de gebruiker wanneer admins kunnen meekijken. RDP gebruik ik wanneer ik zelf wil testen hoe een PC functioneert (als piet of piet-admin, of een testgebruiker).


[...]

Zo leer ik ook nog iets! Ik doe al lang niets meer met Windows, maar Chocolatey ziet er leuk uit!

Ik doe router, switch, voip, server en client CM (configuration management) met Ansible.

Remote access doen we middelsultravnc i.c.m. AD credentials.

Helaas krijg ik ze nog niet allemaal aan de tux

Hahn schreef op donderdag 10 mei 2018 @ 17:29:
[...]

Vooral anderen niet wijzer maken dan dat ze zijn, daar wordt iedereen beter van.

Ik snap niet wat je probeert te bereiken met deze houding. Iemand geeft een suggestie, maar geeft ook aan dat 'ie er niet veel verstand van heeft en het dus mogelijk fout heeft. Jij weet er blijkbaar meer vanaf (of in ieder geval geef je die indruk), leg het dan ook uit, zodat hij en anderen er wat van opsteken, in plaats van de elitaire systeembeheerder uit te hangen.

Doe nou niet alsof jij zo constructief bent of het beter lijkt te weten. Blijkbaar zelf ook te elitair of lui om mijn uitspraak aan te vullen of zelf het antwoord te geven? Vind je het zelf slim om in te kunnen loggen als de directeur buiten normale kantoortijden? Vind je het zelf handig als de bakker even je pincode reset om je om jouw boodschappen mee te betalen? Dat de garage zonder toezicht even een kopietje maakt van je auto-sleutel om je auto te repareren?

MAX3400 schreef op donderdag 10 mei 2018 @ 17:37:
[...]

Doe nou niet alsof jij zo constructief bent of het beter lijkt te weten. Blijkbaar zelf ook te elitair of lui om mijn uitspraak aan te vullen of zelf het antwoord te geven?

Ik weet het niet beter, daarom vul ik het niet aan. Jij lijkt het beter te weten, maar wilde het om één of andere reden (tot nu toe dan) niet delen.

Hahn schreef op donderdag 10 mei 2018 @ 17:38:
[...]

Ik weet het niet beter, daarom vul ik het niet aan. Jij lijkt het beter te weten, maar wilde het om één of andere reden (tot nu toe dan) niet delen.

Rustig jongens , we zijn hier om elkaar te helpen zodat we allemaal beter worden

/me pakt popcorn!

Het resetten van een password v.e. gebruiker zonder dat vooraf te overleggen is gewoon not done. Ik heb dat in 20 jaar in de IT nog nooit gedaan en nooit noodzaak toe gehad.

Je hebt passwords om te voorkomen dat onbevoegden jouw data benaderen (en een IT'er is net zo onbevoegd als elke andere collega) of zich voor jou uitgeven. En als helpdesker of systeembeheerder heb je ook maar rekening met de privacy van een gebruiker te houden. Dus geef ik die altijd de kans om Nee te zeggen.

downtime schreef op donderdag 10 mei 2018 @ 17:41:
En als helpdesker of systeembeheerder heb je ook maar rekening met de privacy van een gebruiker te houden.

Ik vraag ook altijd toestemming zodra ik de home-folder of e-mail van een gebruiker wil openen. Als ik b.v. een backup moet terugplaatsen of andere taken voor de gebruiker, waardoor ik filenames of mail titles zie.

Juridisch gezien mag een gebruiker ook privé gebruik maken van zakelijke middelen (mits binnen de perken, kopieermachine, nietmachine, ringband machine, computers, etc). Gebruikers moeten zakelijk materiaal opslaan in een project-folder. Opgeslagen materiaal in de home-folder is, als het goed is, allemaal privé. Ook kan een gebruiker bezig zijn met solliciteren, en wil je dus nooit zomaar iemands e-mail openen (al kan mijn inziens beter gemaild worden met een privé account voor dat soort zaken).

Dus geef ik die altijd de kans om Nee te zeggen.

Verwijderd schreef op donderdag 10 mei 2018 @ 17:56:
[...]

Ik vraag ook altijd toestemming zodra ik de home-folder of e-mail van een gebruiker wil openen. Als ik b.v. een backup moet terugplaatsen of andere taken voor de gebruiker, waardoor ik filenames of mail titles zie.

Juridisch gezien mag een gebruiker ook privé gebruik maken van zakelijke middelen (mits binnen de perken, kopieermachine, nietmachine, ringband machine, computers, etc). Gebruikers moeten zakelijk materiaal opslaan in een project-folder. Opgeslagen materiaal in de home-folder is, als het goed is, allemaal privé. Ook kan een gebruiker bezig zijn met solliciteren, en wil je dus nooit zomaar iemands e-mail openen (al kan mijn inziens beter gemaild worden met een privé account voor dat soort zaken).

Los van de eeuwige discussie over privé gebruik en privacy die daarmee samenhangt zijn er ook nog de emails tussen medewerker en manager, die een vertrouwelijk karakter kunnen hebben, en tussen medewerker en HR. Misschien wel tussen medewerker en bedrijfsarts. En misschien staat er wel een stuk over een geplande reorganisatie in de mailbox. En ook in de emails met collega's kunnen best eens zaken zitten die niet iedereen hoeft te weten.

En datzelfde geldt ook allemaal voor documenten in de Home folder of op de Desktop. Zelfs als documenten niet persoonlijk zijn wil dat niet zeggen dat ik ze mag zien.

downtime schreef op donderdag 10 mei 2018 @ 18:08:
[...]

Los van de eeuwige discussie over privé gebruik en privacy die daarmee samenhangt zijn er ook nog de emails tussen medewerker en manager, die een vertrouwelijk karakter kunnen hebben, en tussen medewerker en HR. Misschien wel tussen medewerker en bedrijfsarts.

Uhu.

En misschien staat er wel een stuk over een geplande reorganisatie in de mailbox.

Daar hoor ik vaak vroegtijdig over. Reorganisatie vereist medewerking van ICT.

En ook in de emails met collega's kunnen best eens zaken zitten die niet iedereen hoeft te weten.

En datzelfde geldt ook allemaal voor documenten in de Home folder of op de Desktop. Zelfs als documenten niet persoonlijk zijn wil dat niet zeggen dat ik ze mag zien.

Jup. Daarom toestemming vragen. Ik kan het niet beoordelen, de gebruiker wel.

Misschien niet het beste idee

Ik had het zo bedacht:
TS sprak over werken op de pc van de gebruiker tijdens pauzetijd. Om 12h paswoord resetten bij gewenste gebruiker, werk uitvoeren, om 12h30 nog eens resetten zodat gebruiker bij terugkeer uit pauze eerst een nieuw wachtwoord moet ingeven vooraleer te beginnen werken.

Privacy is altijd een issue in de IT denk ik.

Al Capino schreef op donderdag 10 mei 2018 @ 19:21:
Reden van inloggen op het account is dat ik gelijk na de werkzaamheden wil aftesten of alles ook goed werkt en tegelijk werk ik "vervelende" popups voor gebruikers weg. Anders staan ze snel aan me bureau voor een java prompt na een update daarvan bijvoorbeeld.

Dat soort popups automatiseer je. Of met file content, of een register value. Alle applicaties 100% automatisch, geen handwerk op "gebruiker PC's". In een VM test je alle installaties van de verschillende GPO's. 1 GPO per App, en de GPO's op een OU-tree met gebouw informatie (OU per verdieping, daar onder een OU per werkplek-type). Dan kan je ieder werkplek-type automatisch voorzien van zijn eigen apps (en b.v. printers per verdieping).

Bij configuration management test je het applicatie installatie process in b.v. een VM. Als CM werkt dan heb je geen zorgen met de installatie op gebruiker-PC's.

Ik zet normaal een PXE-boot omgeving op, waarmee ik Windows/Linux (basis install) automatisch installeer. Een computer is dan in 15~30 minuten bruikbaar, om met Ansible (Linux), of GPO's (Windows) geconfigureerd te worden, na verse install.

Met WOL heb ik thuis ervaring dat PC's ineens spontaan aan kunnen gaan. Blijkbaar komt er toch een pakketje over het netwerk wat de NIC triggert.

Dan moet je de WOL modus aanpassen. Waarschijnlijk stond je thuis-PC in "any broadcast packet" mode.
Sommige NIC's resetten de WOL-configuratie na iedere boot, met Linux los je dat op met ethtool @ boottime (mode 'g'). Op die link zie je ook welke modes er zijn voor startup.

[ Voor 17% gewijzigd door Verwijderd op 10-05-2018 19:41 . Reden: ethtool ]

Lees je ook in op loopback processing, zodat je meerdere GPO's kan gebruiken. Daarmee kan je 1 app-per-GPO realiseren (merge).

Java uitrollen zou ik proberen met Chocolatey. GPO naam 'App: Java', startup-script welke tegen Chocolatey praat. En als het vereist is, kan je ook register values importeren (op PC of user niveau).

Hebben jullie dan nooit gebruikers met beschadigde gebruikersprofielen? Of applicaties die voor bepaalde gebruikers op bepaalde pc's niet (meer) werken terwijl dat voor andere gebruikers wel gewoon werkt?

Wij lossen dit altijd op op het moment dat de gebruiker de pc niet in gebruik heeft (zoals na 17.00 uur of op hun vrije dag). Dus de noodzakelijke wachtwoorden krijgen we dan gewoon op een geel briefje aangeleverd.
Als systeembeheer zijnde maakt het totaal niks uit of wij het wachtwoord zelf resetten en in het gebruikersprofiel inloggen, of dat we het wachtwoord gewoon op een blaadje hebben staan. Je lost iets speciaal voor de gebruiker op en die zijn daar altijd erg blij mee. Het wekt zelfs ergernis bij de gebruikers op als je hun wachtwoord hebt aangepast....
Overigens heeft de gebruiker gewoon de vrijheid om zelf het wachtwoord te wijzigen naar iets nieuws, maar aangezien het wachtwoord natuurlijk nooit ergens anders voor wordt hergebruikt is het niet nodig om het wachtwoord te wijzigen.

Verwijderd schreef op donderdag 10 mei 2018 @ 17:37:
[...]

Wachtwoord veranderen zodra gebruiker inlogt vereist dat de gebruiker het wachtwoord weet. Als je het wachtwoord aangepast hebt lukt dat niet meer.

Je kunt het ww toch wijzigen naar Welkom01, dat doorgeven aan de gebruiker zodat ie kan inloggen en instellen dat ie direct daarna een nieuw ww moet verzinnen?

Onbekend schreef op donderdag 10 mei 2018 @ 19:53:
Hebben jullie dan nooit gebruikers met beschadigde gebruikersprofielen?

Mandatory profiles! Ik heb 1 user (edit-profile), welke bij logout zijn profile over de mandatory heenschrijft. Al configureer ik dingen liever in een GPO dan in een mandatory profile.

Het voorkomt defecte userprofiles.
^{Al heb ik geen idee hoe dat werkt met verschillende Windows versies.}

Of applicaties die voor bepaalde gebruikers op bepaalde pc's niet (meer) werken terwijl dat voor andere gebruikers wel gewoon werkt?

Met Configuration Management heeft iedereen er last van, of niemand.

migchiell schreef op donderdag 10 mei 2018 @ 19:55:
Je kunt het ww toch wijzigen naar Welkom01, dat doorgeven aan de gebruiker zodat ie kan inloggen en instellen dat ie direct daarna een nieuw ww moet verzinnen?

Lekker origineel! Alle NL bedrijven gebruiken Welkom01 (of welkom, Welkom, welkom01).

Een standaard wachtwoord moet verboden zijn, en je hebt (zonder dat de gebruiker kan inloggen) geen secure channel om de gebruiker "extern" van een nieuwe password te kunnen voorzien (is telefoon secure?!). O.a. daarom reset je geen passwords voor Admin werk.

[ Voor 22% gewijzigd door Verwijderd op 10-05-2018 20:31 . Reden: extern + mandatory profiles ]

Onbekend schreef op donderdag 10 mei 2018 @ 19:53:
Hebben jullie dan nooit gebruikers met beschadigde gebruikersprofielen? Of applicaties die voor bepaalde gebruikers op bepaalde pc's niet (meer) werken terwijl dat voor andere gebruikers wel gewoon werkt?

Wij maken op onze xenapp omgeving gebruik van een zero-profiling. Ik (klop af) heb er nog nooit problemen mee gehad.

Onbekend schreef op donderdag 10 mei 2018 @ 19:53:
Hebben jullie dan nooit gebruikers met beschadigde gebruikersprofielen? Of applicaties die voor bepaalde gebruikers op bepaalde pc's niet (meer) werken terwijl dat voor andere gebruikers wel gewoon werkt?

Wij lossen dit altijd op op het moment dat de gebruiker de pc niet in gebruik heeft (zoals na 17.00 uur of op hun vrije dag). Dus de noodzakelijke wachtwoorden krijgen we dan gewoon op een geel briefje aangeleverd.

Klusje van vijf minuten. Wij deden het gewoon terwijl de gebruiker erbij zat. Klaar terwijl u wacht en ijzer smeden als het heet is. Als de gebruiker geen tijd had dan moest ie zelf maar een keer terug bellen als ie wel tijd had.

Voordelen van mijn huidige aanpak:

- Bij rare situaties kan ik het niet hebben gedaan (best belangrijk)

Die snap ik niet als zij ingelogd hebben blijven ze altijd bij de computer dan? Want anders kun jij net zo goed als ze weg zijn nog steeds rare dingen doen .

thijsjow schreef op donderdag 10 mei 2018 @ 21:03:
[...]

Die snap ik niet als zij ingelogd hebben blijven ze altijd bij de computer dan? Want anders kun jij net zo goed als ze weg zijn nog steeds rare dingen doen .

Screensaver na 10 minuten welke password eist. En opnemen in het beleid dat de gebruiker bij verlaten van PC deze vergrendeld.

Als ik een PC tegenkom waar ik op kan werken, zoek ik uit welke gebruiker is ingelogd en vergrendel de PC (Win+L). Vervolgens gaat er een mailtje naar de gebruiker en zijn meerdere.

^{Bij een ex-werkgever hadden we ook een auto-logout policy na 60 minuten (flexwerk kantoor, geen bureauruimte opeisen).}

[ Voor 10% gewijzigd door Verwijderd op 10-05-2018 21:24 ]

Al Capino schreef op donderdag 10 mei 2018 @ 19:28:
[...]

Agree, bij ons geven ze soms wachtwoorden aan collega's tot mijn ergernis.
Ik probeer ook uit te leggen waarom dat not done is. Toen een manager op vakantie ging heeft hij zijn wachtwoord op een briefje gezet en aan een collega gegeven voor als ik erin wou.
Als ik zaken buiten het account om kan doen heb ik daar mijn eigen account voor.
Met TV doen we al inderdaad.

Bij ons is het beleid dat je je scherm locked als je wegloopt van je werkplek.
Doe je dat niet dan kruipen we achter je computer en sturen een mailtje rond in het bedrijf dat je trakteert
Werkt erg goed om nieuwe collega's snel aan te leren hun werkplek te locken.

Collega die zijn wachtwoord afgeeft als hij op vakantie gaat.... Je zult maar een rotte appel in het bedrijf hebben die even kinderporno gaat zitten downloaden met jouw account (extreem voorbeeld)
In veel gevallen gaat het om de mail waar men bij moet tijdens afwezigheid collega, dan geef je de vervanger toch gewoon rechten tot de mailbox (default alleen inzage default, mailen uit naam van is nog stapje zwaarder en hoeft vaak niet eens). Uiteraard pas na toestemming van de persoon zelf. Toegang tot volledige account is zwaar overkill. Net zo'n slecht idee als algemene accounts.

Verder krijg ik wel de kriebels van sommige reacties hier. 'Welkom01' anno 2018? Werkelijk ? Dan kun je je als IT toch niet serieus voor doen komen als je daarin meegaat!? Hier is het een generated password, dan hebben wij iig gezorgd dat het een veilig wachtwoord is. Het is dan aan de gebruiker of hij/zij het wijzigt.
Je krijgt ook pas een nieuw wachtwoord (telefonisch, niet via mail!) als we zeker weten dat we echt jou aan de lijn hebben. Doen we door meldingsnummer aan manager te verstrekken, die geeft het door aan de medewerker. Als medewerker ons belt dan vragen we naar het meldingsnummer. Als dat klopt krijg je een nieuw wachtwoord. Hoe weten we anders of niet A belt om toegang tot account van B te ontfutselen?

Al Capino schreef op donderdag 10 mei 2018 @ 21:45:
[...]
Nice, zo werkt het bij jou. Toen bij ons de screensaver na 20 minuten erop kwam regende het klachten van gebruikers. PC vergrendelen doen de meesten niet. Ze denken gewoon dat er niks bijzonders te zien is of te halen valt. En ze vinden het vervelend, net als wachtwoorden typen.
Ik zit er ook over te denken om met yubi keys te gaan werken die als smartcard dienen. Insteken voor inloggen, uitsteken voor uitloggen.

Gewoon achter de PC kruipen en een mailtje rondsturen ("Ik ben morgen jarig en trakteer!") of bureaubladachtergrond wijzigen. Cursusje bewustwording ICT-veiligheid voor alle medewerkers kan geen kwaad zo te horen. Wellicht kun je met je baas wat afspreken dat je een test mag doen. En dan iets bedenken waarbij je op een ludieke manier wijst op de gevaren. Data ontfutselen van hun PC als ze weglopen zonder te locken en dan daarmee confronteren tijdens een presentatie over ICT-veiligheid o.i.d. Houd het onschuldig iig.

Wellicht komt de ergernis dat de PC automatisch locked ook voort uit je wachtwoordbeleid.
Heb laatst dit topic gelezen: Gebruikers vergeten wachtwoorden - Waar gaat het fout? was wel interessant. Naar mijn idee werken bepaalde settings juist averechts (maandelijks wachtwoord moeten wijzigen bijv.) en zorgt dat er voor dat men gemakkelijke wachtwoorden gaat gebruiken. Liever een sterk wachtwoord die wat langer gebruikt wordt dan een 'Lente2018' die een maand later op 'Zomer2018' wordt gezet naar mijn idee.

En controle op updates en dergelijke.... Werk je met een domein? Dan zou ik zorgen dat je de werkplekken identiek houdt d.m.v. zaken als GPO of iets als RES Workspace Manager ofzo? Met 3-4 werkplekjes is het misschien nog handmatig te regelen, maar met meer werkplekken heb je zaken als images/VDI etc. zodat elke gebruiker altijd dezelfde ervaring krijgt. Dingen als popups om te updaten e.d. moet je de gebruiker helemaal niet mee lastig vallen.

P.S. @Al Capino, je kunt meerdere quotes in één post zetten Even de code kopiëren en bij je bestaande post in zetten (knopje 'Wijzig' rechtsboven).

[ Voor 28% gewijzigd door ThinkPad op 10-05-2018 22:27 ]

Wozmro schreef op donderdag 10 mei 2018 @ 17:22:
Kan je als beheerder het wachtwoord van een gebruiker niet resetten? Dan moet ie een nieuw ingeven maar dat zou je ook zelf kunnen doen om je werk te kunnen doen.

Daarna reset je nog eens en dan laat je de gebruiker een nieuw wachtwoord ingeven.

Ben zelf geen beheerder dus misschien zeg ik wel iets doms.

Je zegt juist iets heel slims. Als je perse als de gebruiker moet inloggen, bijvoorbeeld om een specifiek probleem met Word oid op te lossen dan is dit de methode.

Uiteraard wel in overleg met de gebruiker op een moment dat het kan zodat je de gebruiker niet voor verassingen stelt.

---

Verwijderd schreef op donderdag 10 mei 2018 @ 17:24:
Dan belast je de gebruikers met de onkunde van de beheerder.

Ik reset alleen wachtwoorden als gebruikers voor mijn neus staan. Handig als de gebruiker op zakenreis is, dan kan die nergens meer bij (hoe draag je 'secure' het wachtwoord over? niet!).

Dat soort dingen doe je dus altijd in overleg. En ik vind het geen onkunde, sommige dingen moeten nu eenmaal onder een gebruikersaccount gebeuren.

Stel dat het voor een remote collega nodig is, dan zijn er vele manieren om een wachtwoord secure over te dragen. Dat jij ze niet kent, dat zegt niet dat ze er niet zijn.
Wat vaak gebeurd is dat het wachtwoord in 2 delen wordt doorgegeven door 2 onafhankelijke mediums. Bijvoorbeeld deel 1 doe je telefonisch en deel 2 via Whatsapp/Telegram. Of deel 1 doe je via een prive mail adres wat je kent van de gebruiker en deel 2 via de telefoon. Of je kan met alle collega's een vast deel 1 afspreken voor dit soort situaties en dan geef je via een medium deel 2 door. En ga zo maar door, meer dan genoeg veilige oplossingen te bedenken.

Uiteraard wel zorgen dat het daarna direct veranderd wordt zodat het tijdelijke wachtwoord wat je doorgeeft na je werkzaamheden zo kort mogelijk in gebruik is.

---

MAX3400 schreef op donderdag 10 mei 2018 @ 17:27:
[...]

Als ik dat nog moet uitleggen... Zeker aan een non-beheerder/IT'er...

Leg het dan maar eens aan mij uit, als jarenlange IT beheerder.

---

MAX3400 schreef op donderdag 10 mei 2018 @ 17:37:
[...]

Doe nou niet alsof jij zo constructief bent of het beter lijkt te weten. Blijkbaar zelf ook te elitair of lui om mijn uitspraak aan te vullen of zelf het antwoord te geven? Vind je het zelf slim om in te kunnen loggen als de directeur buiten normale kantoortijden? Vind je het zelf handig als de bakker even je pincode reset om je om jouw boodschappen mee te betalen? Dat de garage zonder toezicht even een kopietje maakt van je auto-sleutel om je auto te repareren?

Je toon is echt afschuwelijk, daar moet je echt iets aan doen. De arrogantie druipt er vanaf.

Inloggen als directeur, dat is part of the job. Je hebt de directeur zijn credentials niet nodig om snode plannen uit te voeren en deze uit te wissen, het maakt dus geen verschil of je de credentials wel of niet zou weten voor een kort moment.

Je voorbeeld van de bakker is lachwekkend slecht, de bakker is niet de persoon die jouw ingehuurd heeft om bepaalde werkzaamheden uit te voeren.

Bij de garage geef je toch gewoon je sleutel? Ook een denderend slecht voorbeeld. Zonder sleutel kan de garage niets. Als je dat naar IT vertaald: de directeur geeft zijn wachtwoord. Dat is pas slecht, je dient die wachtwoorden nooit en te nimmer te kennen.

Als IT'er heb je een bepaald vertrouwen nodig vanuit de organisatie. Dat is nodig om je werk uit te voeren.

Wachtwoord kennen is bij mij op werk ook not done. Meekijken doen we met teamviewer. Overigens is merendeel deel bij ons RES (Citrix)... Je heb altijd mensen die lokaal blijven werken.

Verwijderd schreef op donderdag 10 mei 2018 @ 19:59:
[...]

Lekker origineel! Alle NL bedrijven gebruiken Welkom01 (of welkom, Welkom, welkom01).

Een standaard wachtwoord moet verboden zijn, en je hebt (zonder dat de gebruiker kan inloggen) geen secure channel om de gebruiker "extern" van een nieuwe password te kunnen voorzien (is telefoon secure?!). O.a. daarom reset je geen passwords voor Admin werk.

Telefoon is ten dele secure, als jij naar het jouw bekende nummer belt dan heb je al een hoge mate van beveiliging.
En nooit via 1 medium werken, altijd splitsen en via verschillende wegen aanleveren. Dat is voor een tijdelijk wachtwoord, wat maar enkele minuten actief is, veilig genoeg.

---

Al Capino schreef op donderdag 10 mei 2018 @ 12:09:
Voordelen van mijn huidige aanpak:

- Bij rare situaties kan ik het niet hebben gedaan (best belangrijk)

Hier ben ik het absoluut mee oneens. Je hebt geen enkel voordeel, want je hebt de credentials niet nodig. Elke beheerder kan snode plannen uitvoeren en zijn sporen grotendeels wissen. Je kan als IT'er dit nooit als een bewijs gebruiken in mijn ogen. Omdat het nooit met zekerheid vast te stellen is.

Bepaalde functies binnen een bedrijf (misschien zelfs wel alle, maar ik beperk mijzelf even) brengen een bepaalde verantwoordelijkheid en vertrouwen mee. Denk aan financiële mensen en IT mensen. Als je in de picture komt als verdachte, dan is er iets goed mis. En maakt het echt niet uit als je zegt dat je de credentials wel of niet kende, op basis waarvan zouden ze je moeten geloven namelijk?

Al Capino schreef op donderdag 10 mei 2018 @ 21:53:
Stel dat, nadat een medewerker wel uitlogt of zijn PC uitzet en weggaat, dat er na die tijd uit diens naam vreemde of voor het bedrijf schadelijke e-mails zijn verstuurd. De betreffende collega kan aantonen dat hij het niet is geweest.
Ik blijf nogal eens overwerken. Als ik het wachtwoord weet zou ik dus, wellicht met enkele andere personen, de verdachte kunnen zijn in deze zaak.

Als je het wachtwoord reset, kan je ook uit naam van die gebruiker een e-mail sturen. Sterker nog, je hebt als sysadmin zonder het gebruikersprofiel te gebruiken vele andere manieren om uit naam van die betreffende persoon een e-mail te versturen. Dit is het zelfde als dat de systeembeheerder het administrator-wachtwoord kent waarmee je toegang hebt tot alle bestanden op de servers.

Als systeembeheerder hoor je gewoon vertrouwelijk met de wachtwoorden om te gaan, en geen misbruik te maken van deze rechten. Vandaar dat het (bij ons) geen probleem is om het wachtwoord te delen met de beheerders.

Je moet natuurlijk niet aan iedereen het wachtwoord geven, en zeker niet op een blaadje schrijven en deze aan je scherm plakken.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:32 . Reden: Leeg ivm privacy ]

Verwijderd schreef op donderdag 10 mei 2018 @ 22:06:
sommige dingen moeten nu eenmaal onder een gebruikersaccount gebeuren.

Daar heb je login/logout scripts (of andere GPO-opties) voor. Het is bad practice als je moet inloggen als een echte gebruiker. Ik heb 0 cases gezien waar het niet te automatiseren is.

Behalve als het gaat om b.v. Outlook machtigingen. Die stel ik normaal samen met de gebruiker op, zodat ze dat zelf leren configureren. Men kan elkaar ook helpen zonder IT-afdeling. Educatie educatie en nog eens...
Dat soort in-app configuraties behandel ik soms ook vanuit CM. Maar dan moet het enorm generiek zijn (iedereen read permissions geven op elkaars agenda).

Het is erg vervelend als er een admin overlijdt, en blijkt dat niet alles volledig geautomatiseerd en gedocumenteerd is wat hij heeft uitgevoerd. Ook daarom wil je het applicatielandschap standaardiseren en automatiseren.

Onder Linux met Ansible schrijf ik alles naar n git repositories (1 voor de roles, en 1 of meerdere git-repo's per klant). Alles is gedocumenteerd en reproduceerbaar door anderen.

En nooit via 1 medium werken, altijd splitsen en via verschillende wegen aanleveren. Dat is voor een tijdelijk wachtwoord, wat maar enkele minuten actief is, veilig genoeg.

Ik ga niet uit van een werkend / betrouwbaar telefoonnetwerk. Ik kan wel wat onbetrouwbare landen opnoemen waar gebruikers komen (maar dat voegt niets toe).

Ik leer de admins liever aan dat ze alleen face-to-face een password reset uitvoeren. Dat is dusver werkbaar gebleken tot ~1000 man personeel.

ThinkPadd schreef op donderdag 10 mei 2018 @ 22:02:
Bij ons is het beleid dat je je scherm locked als je wegloopt van je werkplek.
Doe je dat niet dan kruipen we achter je computer en sturen een mailtje rond in het bedrijf dat je trakteert

Hihi! "Ik tracteer om 15:00 op ijs in de kantine!" tijdens een hete zomerdag.
Mijn baas/ex-bazen vind(en) dat meestal geen goed idee....

Verwijderd schreef op donderdag 10 mei 2018 @ 22:52:
De issues die je nu schetst, over wachtwoorden en weglopen bij je desktop enzo moeten niet vanuit IT, maar vanuit de directie gewoon not done zijn.

Je hebt i.m.h.o. een adviserende rol als ICT-er. Ik houd me graag met management niveau bezig. ICT is een uitvoering van het beleid. Zonder management kan ik geen gebruikers afrekenen op hun gedrag.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:32 . Reden: Leeg ivm privacy ]

Verwijderd schreef op donderdag 10 mei 2018 @ 23:05:
[...]

Daar heb je login/logout scripts (of andere GPO-opties) voor. Het is bad practice als je moet inloggen als een echte gebruiker. Ik heb 0 cases gezien waar het niet te automatiseren is.

Behalve als het gaat om b.v. Outlook machtigingen. Die stel ik normaal samen met de gebruiker op, zodat ze dat zelf leren configureren. Men kan elkaar ook helpen zonder IT-afdeling. Educatie educatie en nog eens...
Dat soort in-app configuraties behandel ik soms ook vanuit CM. Maar dan moet het enorm generiek zijn (iedereen read permissions geven op elkaars agenda).

Eerst weet je er 0, en dan noem je er direct 1

Zo zijn er wel veel meer use cases. Het gaat niet om het uitrollen van een applicatie, maar bijvoorbeeld Outlook of Word instellingen. Specifieke instellingen binnen producten als Profit. Gebruikers met vreemde problemen waar je gewoon als die gebruiker naar moet kijken, omdat ze anders niet optreden.

Redenen genoeg. Niet alles is, helaas, te automatiseren. Soms heb je een gezonde dosis verstand en een scherm voor je neus nodig om iets op te lossen.

Verwijderd schreef op donderdag 10 mei 2018 @ 23:26:
Eerst weet je er 0, en dan noem je er direct 1

De 0/1 is afhankelijk van externe DB, wat tijd kost. En uiteindelijk kan alles, afhankelijk van kosten/baten.

Zo zijn er wel veel meer use cases. Het gaat niet om het uitrollen van een applicatie, maar bijvoorbeeld Outlook of Word instellingen.

Voor Office in zijn algemeenheid kan je, euh, daar is een ding voor, wat collega beheerde via GPO app install structuur. Daarin werden de meeste opties geconfigureerd, incl groep-permissies in Outlook.
^{Sorry. Te lang geleden dat ik Windows/Office heb beheerd.}

Gebruikers met vreemde problemen waar je gewoon als die gebruiker naar moet kijken, omdat ze anders niet optreden.

Voor iedere applicatie/process moet je een testuser hebben. Je moet processen niet limiteren tot 1 gebruiker, maar koppelen aan groepen.

Als je alles handmatig installeert kan je nooit een testomgeving maken, of emergency recovery. Ik kan complete bedrijven nabouwen op IT-niveau (excl de bedrijf-eigen apps/data, mijn Ansible kan niet bij hun Git).

Business continuity / BCM / BCP?

Redenen genoeg. Niet alles is, helaas, te automatiseren.

Alles is te automatiseren. Kwestie van kosten/baten. Deste meer gebruikers je hebt, deste eerder je er mee bezig gaat.

Servers of clients installeren moet gewoon 100% geautomatiseerd. Procedure procedure. Hoe werkt een audit? ISO9001 / 2700x? Etc. Ik right volledige servers/clients/switches/voip-appartuur/routers/etc in zonder handwerk (Ansible). Met zeer applicatie specifieke configuratie (zelfde niveau van (tijd)'issue' als Outlook permissions: doable!).

Als je als ICT-er geen veranderingen kan detecteren die een applicatie maakt op de computer, heb je iets nieuws om te leren. Windows en *NIX hebben daar genoeg tools voor.

Wozmro schreef op donderdag 10 mei 2018 @ 19:03:
Misschien niet het beste idee

Ik had het zo bedacht:
TS sprak over werken op de pc van de gebruiker tijdens pauzetijd. Om 12h paswoord resetten bij gewenste gebruiker, werk uitvoeren, om 12h30 nog eens resetten zodat gebruiker bij terugkeer uit pauze eerst een nieuw wachtwoord moet ingeven vooraleer te beginnen werken.

Privacy is altijd een issue in de IT denk ik.

En ondertussen is het account gelocked door tablet/smartphone, levert weer een boel extra werk op, nee dank je

Verwijderd schreef op vrijdag 11 mei 2018 @ 00:41:
[...]

De 0/1 is afhankelijk van externe DB, wat tijd kost. En uiteindelijk kan alles, afhankelijk van kosten/baten.


[...]

Voor Office in zijn algemeenheid kan je, euh, daar is een ding voor, wat collega beheerde via GPO app install structuur. Daarin werden de meeste opties geconfigureerd, incl groep-permissies in Outlook.
^{Sorry. Te lang geleden dat ik Windows/Office heb beheerd.}

Voor iedere applicatie/process moet je een testuser hebben. Je moet processen niet limiteren tot 1 gebruiker, maar koppelen aan groepen.

Als je alles handmatig installeert kan je nooit een testomgeving maken, of emergency recovery. Ik kan complete bedrijven nabouwen op IT-niveau (excl de bedrijf-eigen apps/data, mijn Ansible kan niet bij hun Git).

Alles is te automatiseren. Kwestie van kosten/baten. Deste meer gebruikers je hebt, deste eerder je er mee bezig gaat.

Ben het met je oneens, sorry. Let's agree to disagree.

Voor installatie werk en basis instellingen heb je inderdaad voldoende aan GPO's en dergelijken. Voor de rest is en blijft IT op de werkplek ook gewoon mensen werk.

Bijvoorbeeld, iemand heeft een of ander vinkje aangezet waardoor de templates in Word constant vragen of ze opgeslagen moeten worden. Dat zal je toch echt moeten uitzoeken, het is ondoenlijk om iets dergelijks vanuit een GPO te regelen. Dan moet je elke instelling van het Office pakket gaan instellen. Behalve dat dat belachelijk veel werk is, is het ook niet gewenst. Gebruikers hebben ook een zekere mate van vrijheid nodig om hun werk te kunnen doen.

Zeker in kleinere bedrijven zullen de kosten voor wat voor beheersoftware dan ook bijna nooit uit kunnen. De basis lukt prima, maar alles is gewoon niet te doen. Ik weet waar ik over praat wat dat betreft, ik heb omgevingen beheerd van 25 tot 1500 FTE. De aanpak van beheer is gewoon dag en nacht verschil.

Bij die van 25 FTE was ik voornamelijk bezig met server beheer voor wat wij aan onze klanten aanboden, systeembeheer voor die 25 FTE moest er gewoon even bij, was geen tijd en geld om dat te automatiseren tot in het laatste detail. Was ook niet nodig, was misschien 4 uur per week bezig met beheer voor gebruikers (vergeten wachtwoorden, image erop duwen, instelling in Word, etc.).
Bij die van 1500 FTE was het heel wat anders, daar moest alles op de standaard. Standaard apparatuur, standaard instellingen.

TS werkt overduidelijk niet in een miljoenen bedrijf met tientallen beheerders. Stellen dat hij alles maar moet automatiseren is kolder. Alleen al het uitzoekwerk en inrichting van dergelijke tooling neemt weken en weken van tijd in beslag. Dat gaat nooit uit kunnen.

Ik heb o.a. in een weekeind (vr-middag/za/zo) een compleet bedrijf (150 man) verhuist na verbouwing, en alle computers van herinstallatie voorzien (nieuwe werkmethode, papierloos). Een paar maanden voorbereiden (met 2 IT-ers) zodat de installatie volledig (vanaf PXE boot tot finished desktop) geautomatiseerd was. Kwestie van kosten/baten.

Vraag management maar wat het kost als mensen een week niet productief zijn, zodra een server/rack is uitgefikt (en je nieuwe hardware moet binnenslepen, en installeren), of een (deel van) gebouw afbrand.

• 150 FTE * avg. uurloon (facturatie avg ~150e) * uren per week (40) = 900.000 euro/week
• Paar mnd als 'tussendoortje' * alles automatiseren: 2 (FTE) * 100 (IT facturatie) * 40 (uur/week) * 12 (weken) = 96.000 euro.
^{* Ik reken met full-time, maar het was een tussendoortje, dus nog goedkoper!}

Volledige automatische installatie kost wat tijd/geld. Maar zoals ik zei, kosten/baten.

Ik had ooit een issue met een niet nader te noemen vendor. SLA niet behaald en 4 dagen offline (storage). Dat heeft de vendor een groot bedrag gekost (verloren manuur, zie boven).