Een Active Directory (AD) bevat alle gebruikers en beveiligingsgroepen in jouw organisatie. Je hebt hierin veel verschillende mogelijkheden aan AD's. Zo kan jouw AD on premise zijn, Azure, SharePoint of Microsoft 365. Welke je ook gebruikt als jouw AD, het principe blijft hetzelfde. Je beheert in het AD je gebruikers en groepen.
De inrichting van je AD kent een toekomstig bestendige wijze welke nog maar weinig wordt gebruikt in organisaties. De reden hiervoor is dat de inrichting ervan vaak veel historie kent. Hierdoor zijn mensen vaak geneigd dit te laten staan want wat als er ineens iets mis gaat als je het gaat opruimen? Toch zal er nauwelijks iets mis kunnen gaan als je dit onderdeel gaat opschonen. Hieronder leg ik de beste inrichting van de AD uit en benadruk ik waar je aan moet denken.
Dit zien wij veel gebeuren
Bij veel organisaties wordt alles aan rechten ingericht op persoonsniveau. Dat houdt in dat een gebruiker wordt toegevoegd aan bijvoorbeeld een applicatie of bepaalde mappen/schijven. Deze inrichting is vanuit meerdere kanten niet duurzaam.
Als er aankomende maand een nieuwe medewerker start en dezelfde rechten als Kelly nodig heeft, dan moet je alle onderdelen in jouw IT-omgeving gaan openen om te zien waar Kelly rechten toe heeft. Vervolgens voeg je de nieuwe medewerker ook per onderdeel toe. De kans is daarbij groot dat je onderdelen gaat missen.
Daarnaast kan het zo maar zijn dat Kelly ineens uit dienst gaat. Ook dan moet je alle verschillende onderdelen openen om haar hieruit te verwijderen. Hierbij bestaat weer de kans dat je onderdelen gaat missen. Zo ontstaat uiteindelijk een flinke vervuiling waaraan niemand meer zijn of haar handen durft te branden.
Al met al zal je continu bezig zijn met het openen van alle onderdelen in jouw IT-omgeving. Zodra je jouw AD inricht zoals ik hieronder bespreek hoef je slechts één handeling te verrichten en dan ben je klaar. Of iemand nu in dienst komt of uit dienst gaat. 💯
De perfecte inrichting
De perfecte inrichting van je AD is relatief gemakkelijk. Huidige medewerkers hebben natuurlijk een actief gebruikersaccount. Medewerkers die uit dienst gaan moeten niet alleen geblokkeerd worden maar echt verwijderd. Hiermee behoud je het onderdeel gebruikers schoon. Alles wat een gebruiker heeft aangemaakt aan bijvoorbeeld documenten wordt dan niet verwijderd. Dus geen zorgen!
Als we kijken naar de groepen in de AD, dan zullen dit de functiebenamingen zijn welke bekend zijn bij HR. Op basis van een functie heeft iemand rechten op applicaties, documenten en meer. Nu is het natuurlijk wel zaak dat de functieprofielen bij HR netjes zijn opgeschoond.
Het handige van een inrichting op basis van functieprofielen in plaats van personen toekennen is dat je in één omgeving de gebruikers rechten kan toekennen en ook weer weghalen.
Aan de slag
Allereerst moet je schoon schip gaan maken. Dat houdt in dat je alle medewerkers die uit dienst zijn ook gaat verwijderen in je AD. Nadat je enkel nog actieve gebruikers in je AD hebt staan, ga je aan de slag met de groepen. Hierbij is het van belang dat je eerst in beeld gaat brengen welke functieprofielen je hebt en welke medewerkers horen bij welk functieprofiel. Let op dat je in kleinere organisaties vaak naast een functieprofiel nog een extra rol hebt. Zo kan je bijvoorbeeld de functie hebben van Inside Sales met een rol als BHV'er. Definieer dus zowel functieprofielen als rollen.
Zodra je alle functieprofielen, rollen en bijbehorende medewerkers in kaart hebt gebracht, kan je deze gaan aanmaken in je AD. Vervolgens ga je per onderdeel in je IT-omgeving alle medewerkers verwijderen en bijbehorende rol toevoegen. Hiervoor heb je nog wel eens informatie nodig van andere afdelingen. Vaak weet je namelijk zelf niet waar de afdeling Sales allemaal rechten op moet hebben. Mijn tip hierbij is dat je een moment inplant met de manager van de afdeling. Hiermee vang je het meeste af. Mochten ze alsnog ergens niet bij kunnen, dan kan je ze heel snel van de juiste rechten voorzien.
Nu je weet wat je moet doen kan je aan de slag! Wees niet te bang voor het verwijderen van een gebruiker of van rechten. Mocht je teveel rechten weggehaald hebben, dan kan je ze zó weer toevoegen. Het is even een flinke transitie, maar het verdiend zich meer dan terug! Functiewijzigingen, nieuwe medewerkers en medewerkers uitdienst; het maakt jou straks niets meer uit!
Er is meer!
Je Active Directory is zeker niet het enige waar je informatie over kan inwinnen op mijn website. Zo schrijf ik wekelijks blogs en staat het vol met instructies. Alles wat je aan informatie kan vinden op mijn website is gewoon gratis, dus maak er zeker gebruik van! Eventueel kan ik je ook verder helpen dan enkel mijn informatieve website. Benieuwd naar de mogelijkheden? Mail dan naar info@onlinetechtips.nl.