Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

dinsdag 8 januari 2019 11:02

Acties:
  • Red-Front
  • Registratie: Juni 2007
  • Laatst online: 15-09 14:36

Red-Front

Topicstarter
Hallo,

Allereerst excuus dat ik misschien wel een erg basic vraag stel, maar ik weet niet de juiste oplossing te vinden. Hoe zouden jullie de rechten van support / helpdesk medewerkers inrichten?

Deze vraag is vast al meerdere keren gesteld, maar ik kan eigenlijk niet hele makkelijke guidelines vinden. Dat is misschien ook niet mogelijk omdat elke situatie anders is. Maar het lijkt mij dat er wel een best practice is. De bedoeling is wel dat het niet kneuterig aanvoelt en een logische gebruiksvriendelijke oplossing is.

Stel een computer komt nieuw binnen bij het bedrijf, het enige wat ik doe is een Windows 10 image er op zetten, support van het bedrijf meld deze PC aan op het domein en installeert apps.

Dan heb je al een Domain Admin nodig om het domein te joinen.

Daarna wil je nog applicaties installeren, wat het handigst is wanneer je misschien ook een Apps schijf hebt, zou je hiervoor een Support/Helpdesk AD account maken die automatisch de Local Admin Group joined na inloggen?

Of je maakt een Local Admin account op de computer en zet hier een veilig wachwoord op.. maar deze blijft van voor altijd ongewijzigd.

Er zijn ongetwijfeld al meerdere topics over, maar de meest recente die ik kan vinden is uit 2016 en geeft niet duidelijk antwoord op mijn vragen.

Er zijn vele meningen. Een optie is ook dat je inlogd met een User Account en de installatie draait via Run As Administrator en dan de setup uitvoert met een AD account met meer rechten.

Het bedrijf is niet dusdanig groot dat het loont om images kant en klaar met software te preppen en dergelijke.

Op dit moment bezig met Exam 70-740 maar hier wordt het ook niet bij besproken..

Ben nieuwsgierig hoe jullie dit aanpakken.

dinsdag 8 januari 2019 11:07

Acties:
  • St@m
  • Registratie: December 2001
  • Laatst online: 23:28

St@m

@ Your Service

Hier ga je geen eenduidig antwoord op krijgen, mijn visie is zoveel mogelijk neerleggen bij de eerste lijn zodat de beheerders tijd hebben om te werken aan het verbeteren van de omgeving (even kort door de bocht).

Dus alle rechten die nodig zijn voor het uitvoeren van de werkzaamheden.

Edit: domain joinen doe je tijdens je geautomatiseerde installatie.

[ Voor 10% gewijzigd door St@m op 08-01-2019 11:09 ]

vuurwerk - vlees eten - tuinkachel - bbq - alcohol - voetbalwedstrijden - buitenfestivals - houtkachels

dinsdag 8 januari 2019 11:07

Acties:
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:29

HKLM_

Stel een computer komt nieuw binnen bij het bedrijf, het enige wat ik doe is een Windows 10 image er op zetten, support van het bedrijf meld deze PC aan op het domein en installeert apps.

Dan heb je al een Domain Admin nodig om het domein te joinen.
Waarom join je de PC niet tijdens het imagen al in het domain en installeer je gelijk de applicaties. Waar image je nu mee? Ik gebruik MDT + WDS en dat gaat als een tier ook in ons kleine bedrijf. Is ook veel minder werk als een image bijhouden :). Voordeel van MDT is dat alles losse task sequence zijn waardoor het heel schaalbaar is. Voor alleen windows installeren is het opzetten van mdt een ochtendje werk. Je applicaties kunnen wat lastiger zijn maar dat is vooral applicatie afhankelijk.

Voor rechten voor een SD medewerker zou ik in AD delegate control instellen. Dat ze bijvoorbeeld mogen joinen,verplaatsen,installeren maar niks kunnen verwijderen (er zijn best wat opties).

Mensen aan de Local Admin group toevoegen moet je echt niet meer willen dat is gewoon een groot risico.

[ Voor 25% gewijzigd door HKLM_ op 08-01-2019 11:23 ]

Cloud ☁️

dinsdag 8 januari 2019 11:10

Acties:

Verwijderd

Je zou hier eens naar kunnen kijken: https://www.microsoft.com/en-us/learning/exam-70-744.aspx

dinsdag 8 januari 2019 11:27

Acties:
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:29

HKLM_

Verwijderd schreef op dinsdag 8 januari 2019 @ 11:10:
Je zou hier eens naar kunnen kijken: https://www.microsoft.com/en-us/learning/exam-70-744.aspx
voor 70-744 is het wel nodig kennis te hebben van 2012 of 2016 en aangezien TS nog bezig is met 70-740 denk ik dat 70-744 nog iets te hoog is voor hem.

Cloud ☁️

dinsdag 8 januari 2019 12:31

Acties:

Verwijderd

HKLM_ schreef op dinsdag 8 januari 2019 @ 11:27:
[...]


voor 70-744 is het wel nodig kennis te hebben van 2012 of 2016 en aangezien TS nog bezig is met 70-740 denk ik dat 70-744 nog iets te hoog is voor hem.
Jawel maar gewoon wat onderwerpen eruit plukken en kijken of e.e.a. toegepast kan worden kan natuurlijk. Hoef je niet per se een heel cert voor te halen toch? ;)

dinsdag 8 januari 2019 12:44

Acties:
  • Squ1zZy
  • Registratie: April 2011
  • Niet online

Squ1zZy

Verwijderd schreef op dinsdag 8 januari 2019 @ 12:31:
[...]
Jawel maar gewoon wat onderwerpen eruit plukken en kijken of e.e.a. toegepast kan worden kan natuurlijk. Hoef je niet per se een heel cert voor te halen toch? ;)
In 70-744 wordt dat ook niet besproken :)

Ben het helemaal met @HKLM_ eens.

woensdag 9 januari 2019 10:35

Acties:
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Red-Front schreef op dinsdag 8 januari 2019 @ 11:02:

Of je maakt een Local Admin account op de computer en zet hier een veilig wachwoord op.. maar deze blijft van voor altijd ongewijzigd.
Dat probleem is allang opgelost: LAPS

vrijdag 11 januari 2019 16:45

Acties:
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 20:29

HKLM_

@Red-Front is het al gelukt of helpen we je voor niks?

Cloud ☁️

zondag 13 januari 2019 00:26

Acties:
  • Red-Front
  • Registratie: Juni 2007
  • Laatst online: 15-09 14:36

Red-Front

Topicstarter
@HKLM_ jullie reacties hebben zeker geholpen! Had er al kort naar gekeken. Ik ga mij verdiepen in wat jij zei, dat is o.a. PC's van te voren het domein laten joinen via de image, support bepaalde rechten geven en naar LAPS, wat @downtime aangaf. Het probleem is dat ik een organisatie ben binnen gestapt waar veel mensen een administrator account hebben "want dat is makkelijk". Ook draaien er services op bepaalde admin accounts, dus het gaat allemaal nog leuk worden.

zondag 13 januari 2019 00:36

Acties:
  • Oogje
  • Registratie: Oktober 2003
  • Niet online

Oogje

Voor het joinen van het domein hoef je echt geen domain admin te zijn, als je je delegation op AD maar goed regelt :)

Any errors in spelling, tact, or fact are transmission errors.

woensdag 16 januari 2019 13:40

Acties:
  • TomPlant0
  • Registratie: December 2014
  • Laatst online: 22-10 18:13

TomPlant0

Red-Front schreef op dinsdag 8 januari 2019 @ 11:02:
Hallo,

Allereerst excuus dat ik misschien wel een erg basic vraag stel, maar ik weet niet de juiste oplossing te vinden. Hoe zouden jullie de rechten van support / helpdesk medewerkers inrichten?
Gebruikers kunnen het zeer waarderen als het oplosvermogen van de eerste lijn hoog is. Tegenwoordig doe je er eigenlijk goed aan om een eerste-en-tweede-lijn support medewerker in een te hebben. Dit zorgt er voor dat er al veel meer opgelost kan worden bij het eerste contactpunt.
Deze vraag is vast al meerdere keren gesteld, maar ik kan eigenlijk niet hele makkelijke guidelines vinden. Dat is misschien ook niet mogelijk omdat elke situatie anders is. Maar het lijkt mij dat er wel een best practice is. De bedoeling is wel dat het niet kneuterig aanvoelt en een logische gebruiksvriendelijke oplossing is.
Elke servicedesk is uniek in zijn eigen werkwijzen. Hier antwoord op geven is erg lastig.
Stel een computer komt nieuw binnen bij het bedrijf, het enige wat ik doe is een Windows 10 image er op zetten, support van het bedrijf meld deze PC aan op het domein en installeert apps.

Dan heb je al een Domain Admin nodig om het domein te joinen.

Daarna wil je nog applicaties installeren, wat het handigst is wanneer je misschien ook een Apps schijf hebt, zou je hiervoor een Support/Helpdesk AD account maken die automatisch de Local Admin Group joined na inloggen?
De meeste bedrijven doen een Windows installatie met SCCM. Tijdens de automatische installatie wordt vaak een gebruiker gebruikt die de domain join doet. Je hoeft hier geen domain admin voor te zijn. Eigenlijk moet je maar een domain admin hebben. De rest moet je gewoon goed inregelen met security groepen voor ICT.
Of je maakt een Local Admin account op de computer en zet hier een veilig wachwoord op.. maar deze blijft van voor altijd ongewijzigd.
Je kan een wachtwoord maken en deze dmv een policy een keer in de zoveel tijd updaten. Het nadeel is wel dat als de GPO niet goed bijgewerkt wordt op computer dat je het wachtwoord niet meer weet. Dus dat zou ik afraden. Gewoon een sterk wachtwoord gebruiken. Of zet deze uit en maak een speciaal account voor de organisatie zelf of hernoem deze met een GPO.
Er zijn ongetwijfeld al meerdere topics over, maar de meest recente die ik kan vinden is uit 2016 en geeft niet duidelijk antwoord op mijn vragen.

Er zijn vele meningen. Een optie is ook dat je inlogd met een User Account en de installatie draait via Run As Administrator en dan de setup uitvoert met een AD account met meer rechten.

Het bedrijf is niet dusdanig groot dat het loont om images kant en klaar met software te preppen en dergelijke.
Je kan sowieso een installatie script maken met bijv Powershell. Nadeel is wel dat je .msi installatie pakket nodig hebt om dit soepel te laten verlopen. Scheelt je in elk geval een hoop geklik.

Misschien dat Microsoft Intune iets voor jullie is? Je kan dan ook eenvoudig beheer doen.
Op dit moment bezig met Exam 70-740 maar hier wordt het ook niet bij besproken..

Ben nieuwsgierig hoe jullie dit aanpakken.
Succes met je examen en hopelijk heb je iets aan m'n antwoorden ;-).

woensdag 23 januari 2019 16:35

Acties:
  • amx
  • Registratie: December 2007
  • Laatst online: 22-11 08:15

amx

Als support medewerker vraag ik me af wie TS is en wat zijn taak binnen de organisatie is? Iemand die de image op een pc zet en tegelijk verantwoordelijk is voor toekennen van rechten van andere gebruikers in de organisatie? Wie zijn de support medewerkers en wat is het bedrijf? TS lijkt er geen onderdeel van uit te maken (?).

Wij werken met een repository waar toegestane apps in staan. Updates gaan buiten de rechten van de computergebruiker om via een update client. Voor ons is dat in het weekend een uitdaging als updates van externe partijen een update van onze apps vereisen (De meeste staffuncties hebben hooguit bereikbaarheidsdiensten in het weekend).

woensdag 23 januari 2019 16:58

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 23:38

Jazzy

Moderator SSC/PB

Moooooh!

amx schreef op woensdag 23 januari 2019 @ 16:35:
Als support medewerker vraag ik me af wie TS is en wat zijn taak binnen de organisatie is? Iemand die de image op een pc zet en tegelijk verantwoordelijk is voor toekennen van rechten van andere gebruikers in de organisatie? Wie zijn de support medewerkers en wat is het bedrijf? TS lijkt er geen onderdeel van uit te maken (?).
Ik denk dat het antwoord verstopt zit in deze zin: :)
Red-Front schreef op dinsdag 8 januari 2019 @ 11:02:
Het bedrijf is niet dusdanig groot dat het loont om images kant en klaar met software te preppen en dergelijke.
Ik herken het wel uit de tijd dat ik systeembeheerder was voor een bedrijf met 150 medewerkers. Dan ben je in je eentje en doe je gewoon alles. Van uitrol van systemen, serveronderhoud, gebruikersondersteuning, etc.

Exchange en Office 365 specialist. Mijn blog.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq