Automation

Naam: Albin Zeneli

Klas: S3 Infra
Versie: 1.3
 Versienummer  Datum  Auteur  Verandering 
1.0 1-4-23  A.Zeneli  -Procedure voor onboarding uitgewerkt bij
kopje “Prodecure voor onboarding (nieuwe
medewerker)”
1.1 8-4-23  A.Zeneli  -Procedure voor onboarding toegepast bij
kopje “Realiseren”
1.2 11-4-23 A.Zeneli -Hoofdstuk “Procedure voor offboarding”
toegevoegd.
1.3 22-4-23 A.Zeneli - Hoofdstuk “Password reset – Self Service”
toegevoegd

Inleiding
In deze document heb ik een on- en offboarding procedure uitgewerkt, waarbij ik de onboarding
procedure ook uitgewerkt heb.
Dit document begint eerst met het onboarding procedure, waarbij ik een gepaste case gemaakt heb en
ik mijn opdracht vanuit daar maak, dit heb ik ook vastgelegd natuurlijk.
Tenslotte heb ik ook een offboarding procedure gemaakt, waarbij ik ook een case verzonnen heb en
daarbij ook beschreven heb wat er gaat gebeuren en door wie het gedaan zal worden.

Contents
Inleiding.................................................................................................................................................2
Procedure voor onboarding (nieuwe medewerker).................................................................................3
Case:...................................................................................................................................................3
Hoe realiseer ik dit.............................................................................................................................3
Realiseren...........................................................................................................................................4
AD gebruiker toevoegen en configureren + Reset password policy...............................................5
De GPO aanmaken.........................................................................................................................9
Procedure voor offboarding..................................................................................................................12
Case:.................................................................................................................................................12
Wie realiseert wat:............................................................................................................................12
Password Reset – Self Service..............................................................................................................13

Procedure voor onboarding (nieuwe medewerker)

Case:
Voor deze opdracht moet ik een case verzinnen en een paar requirements bij benoemen.
Ook moet ik een process automatiseren van onboarding.
Hierbij de case:
Er is een nieuwe helpdeskmedewerker genaamd Lisa, Lisa zal werken voor een groot softwarebedrijf
en zal verantwoordelijk zijn voor het ondersteunen van klanten via telefoon, e-mail en chat.
Lisa zal toegang moeten hebben tot een aantal systemen/software, namelijk het volgende:
1. Een CRM-systeem: Gezien Lisa constant met verschillende klanten bezig zal zijn, zal ze
de gegevens van de klant moeten hebben en eerdere interacties tussen het bedrijf en de
klant, om hen zo verder te helpen, dit kan
2. Een HR-systeem: Lisa moet toegang hebben tot een HR-systeem
3. Tickingssysteem : Helpdesksoftware Zendesk
4. Email-client : Outlook, Gmail beantwoorden van klanten hun emails
5. Database: antwoorden op veelgestelde vragen (sharepoint) (confluence)
productinformatie, handleidingen, richtlijnen en beleidsdocumenten.
6. Remotedesktopsoftware: Teamviewer, anydesk helpen voor klanten die problemen hebben
met computer
7. Chattool: Slack, Microsoft Teams, contact met collega’s voor vragen of ondersteuningen.
8. Telefoonsoftware: Klanten helpen via de telefoon, dus VoIP-systeem.
9. Chatsoftware: om klanten online te kunnen helpen als ze chat aanbieden
10. (Toegangbeheer): Lisa moet alleen toegang hebben tot systemen en informatie die
relevant zijn voor haar werk, met IAM-systeem kan dat gerealiseerd worden.
11. Beveiliging: Voor de veiligheid van het bedrijf, zal Lisa een antivirus en een
firewallprogramma op haar systeem moeten hebben en andere veiligheidsprotocollen
zoals firewallprogramma’s

Hoe realiseer ik dit

Om de requirements te realiseren, zal ik het volgende toepassen:

Specificatie server:
- Windows server (2022)
- Windows server feature: DNS server
- Windows server feature: AD DS
Group Policy (met MSI bestanden):
- Outlook
- Sharepoint
- Zendesk
- Anydesk
- Microsoft Teams
- VoIP-clinet
- Chatsoftware
- Antivirus
- HR-systeem (Outlook Exchange ActiveSync)
 Haar gegevens in CSV bestand:
- Naam
- Initialen
- Achternaam
- Geboortedatum
- Gebruikersnaam
- Email
- Straatnaam
- Stad
- Postcode
- Provincie
- Land
- Afdeling
- Wachtwoord (Gegenereerd met Manytools password generator)
- Telefoonnummer
- Werktitel
- Bedrijf
- Geboortedatum

Realiseren
Om te beginnen heb ik een Windows Server 2022 VM aangemaakt en alle benodigde updates
geinstalleerd.
Vervolgens heb ik een Domain Name System service en een Active Directory Domain Service
geinstalleerd, hierbij de reden.

DNS service – Doormiddel van een DNS server kan ik een locale DNS opzetten waarbij veschillende
devices aan kunenn sluiten aan mijn AD DS, dit ga ik nodig hebben als ik mijn script vanuit een
andere pc wil uitvoeren.

AD-DS – Dit is mijn Active Directory Domain Controller, ik gebruik de AD DS om te gebruikers in

mijn netwerk te beheren, dus gebruikers te kunnen toevoegen en te kunenn verwijderen maar ook het
kunenn toepassen van policies en wat nodig is.

AD gebruiker toevoegen en configureren + Reset password policy

Om een gebruikers op mijn AD toe te voegen, heb ik gebruik gemaakt van een Powershell script:

Deze code haalt gegevens op van een bestand genaamd ‘info.csv’, dit is hoe het eruit ziet:

k heb ook comments erbij geplaatst zodat een ander begrijpt wat er staat en als ik deze code uitvoer,
zie ik het volgende:

Even dubbelchecken of het echt gemaakt is:

Jahoor, het is echt gemaakt.

Nu wil ik ook dat de gemaakte user toegevoegd wordt aan de gewenste usergroup, nanelijjk
‘klantenservice’, dit is wat ik heb aangepast aan mijn code om dit te realiseren:

Ik krijg nu dit:

Dit klopt deels, zoals je kan zien is de user tim aangemaakt en toegevoegd aan de user group:

Maar bij brenda geeft die een foutmelding dat de gebruiker al bestaat, dus als de gebruiker al bestaat,
wordt die niet toegevoegd aan de user group, dat wil ik wel, dus heb ik mijn code aangepast.
Ik heb beide gebruikers van de usergroup verwijdert, dus als de code werkt, zullen ze nu alleen
toegevoegd worden aan de usergroup, even uittesten:

Als ik nu bij de user group kijk, zie ik ze staan:

Nu ik succesvol de gebruikers kan aanmaken met policies, kan ik doorgaan met het testen of toegang
mogelijk is en of de policies werken.
Ik heb mijn client PC toegevoegd aan het domein:

Nu ga ik kijken of de reset password at login ook echt werk, dus ik log in met Brenda Thompson en
dan zie ik het volgende:
Verder heb ik op de Windows Server VM een share folder aangemaakt met daarin de .msi bestand die
ik wil gebruiken voor de GPO:
Ik geef het de goede permissies en kijk of ik er met de client pc bij kan:

Dat werkt ook.

Nu weet ik dat ik succesvol een gebruker heb aangemaakt en de password reset at login policy heb
toegepast.

De GPO aanmaken

Om application toe te voegen bij de aangemaakte user, moet ik gebruik maken van een group policy.
Ik heb deze video gevolgd: https://www.youtube.com/watch?v=n9CSw0tWYno
Wat ik in mijn geval gedaan heb is in plaats van computer configuration policies, namelijk uesrs
configuration policies toe te passen, gezien ik de apps op user niveau wil laten installeren.
Zoals je kan zien heb ik een GPO aangemaakt genaamd software installation, die heb ik vervolgens
ingesteld op user configuration -> software installation en heb ik het bestand ingestopt.
Vervolgens heb ik de desbetrefende user group (in dit geval ook de user apart) toegevoegd die hier
gebruik van zullen maken, zoals ik in de video zag.
Nu zal ik testen of ik automatisch de software krijg als ik inlog:
Nee, ik krijg niet automatisch de software.
Dit is wat ik gedaan heb:
Ik heb alle benodigde stappen gevolgd die ik in verschillende video’s vond, namelijk:
- Maak een shadefolder aan met daarin de benodigde .MSI bestand, geef de user die de .MSI
bestand krijgt, de juiste rechten voor de folder, namelijk read.
- Maak vervolgens een GPO aan (in mijn geval is dat die ‘software installation’) en kies dan
voor computer configuration of user configuration (in mijn geval user, gezien ik het voor de
functie van de user wil doen), en ga dan naar software settings -> software installation en voeg
de .msi bestand toe.
- Ik gaf de gewenste user group en de user de juiste permissions.

- Ik heb de GPO gelinkt met het domein

Procedure voor offboarding
Case:

Lisa is een helpdeskmedewerker bij een groot softwarebedrijf. Ze werkt al enkele jaren op het
kantoor van het bedrijf en heeft tijdens haar werk toegang gekregen tot verschillende
systemen en software zoals een CRM-systeem, HR-systeem, Zendesk, Outlook, Sharepoint,
Anydesk, Microsoft Teams, VoIP-client, chatsoftware, IAM-systeem, antivirus en
firewallprogramma's.

Lisa heeft besloten om haar baan op te zeggen en haar werk bij het bedrijf te beëindigen. Ze
werkt alleen op kantoor en heeft geen toegang tot de bedrijfsnetwerken van buitenaf. Ze heeft
een werk-laptop die ze elke dag meeneemt naar kantoor en gebruikt voor haar werk. Het
bedrijf heeft haar toestemming gegeven om haar laptop en andere bedrijfseigendommen terug
te brengen naar het kantoor en daar in te leveren.

Lisa heeft ook verschillende accounts en toegang tot systemen die ze gebruikt tijdens haar
werk bij het bedrijf. Het bedrijf heeft een procedure om ervoor te zorgen dat Lisa's accounts
en toegang tot systemen op een veilige en gecontroleerde manier worden verwijderd.

Wie realiseert wat:

- Het HR-team van het bedrijf zal verantwoordelijk zijn voor het starten van het offboarding-
proces voor Lisa. Dit houdt in, het verzamelen van alle bedrijfseigendommen die Lisa in bezit
heeft, zoals de werk-laptop, softwarelicenties, toegangsbadges, en andere eigendommen die
Lisa tijdens haar werk bij het bedrijf heeft ontvangen.

- Het IT-team zal verantwoordelijk zijn voor het beëindigen van Lisa's toegang tot alle
systemen en accounts die ze gebruikt tijdens haar werk bij het bedrijf. Het IT-team zal de
accounts van Lisa in alle relevante systemen deactiveren, zoals het HR-systeem, het CRM-
systeem, Zendesk, Outlook, Sharepoint, Anydesk, Microsoft Teams, VoIP-client en
chatsoftware. De IT-afdeling zorgt er ook voor dat Lisa's laptop op afstand wordt gewist,
zodat alle bedrijfsgegevens van de laptop worden verwijderd.

- Het beveiligingsteam zal ervoor zorgen dat de toegang van Lisa tot het bedrijfsnetwerk wordt
geblokkeerd en dat alle toegangsbewijzen van Lisa worden ingetrokken. Het bedrijf zal er ook
voor zorgen dat de persoonsgegevens van Lisa op een veilige en verantwoorde manier worden
verwerkt en dat haar gegevens worden verwijderd uit alle systemen waarin ze is opgenomen,
zoals het HR-systeem.

- Ook zal haar account in het Active Directory worden uitgeschakeld of verwijderd, afhankelijk
van het beleid van het bedrijf. Hierdoor kan ze geen toengang meer krijgen tot bedrijfsbronnen
of –systemen met behulp van haar AD-account referenties. De IT-afdeling of de persoon die
verantwoordelijk is voor het beheer van het Active Directory moet ervoor zorgen dat haar
account wordt uitgeschakeld of verwijdert.

- Ten slotten moeten ook alle persoonlijke gegevens van Lisa worden verwijderd uit de
systemen en opslag van het bedrijf. Dit omvat gegevens zoals haar contactinformatie,
werkgeschiedenis, belasting- en loonadministratie, en alle andere persoonlijke gegevens die
tijdens haar dienstverband zijn verzameld. Het is belangrijk om deze informatie veilig en
 vertrouwelijk te behandelen, en te zorgen dat er gehouden wordt aan de wetgeving van
gegevensbescherming en privacy, zoals de AVG (Algemene Verordening
Gegevensbescherming).

Password Reset – Self Service

In deze opdracht moest ik van meneer, uitleggen een werknemer, doormiddel van self service. Zijn of
haar wachtwoord kan wijzigen via een portaal, ik hoefde dit niet in praktijk toe te passen.
Voordat ik kan beginnen net het maken van deze opdracht, moet ik eerst weten wat het volgende
betekend:

- Self-Service Password Reset: Self-service password reset (SSPR) is een proces waarbij een
individu zijn of haar eigen vergeten of verlopen wachtwoord kan resetten zonder de hulp van
een IT-helpdesk of systeembeheerder. Dit stelt gebruikers in staat om zelf hun wachtwoord te
herstellen zonder tussenkomst van anderen.
Nu ik weet wat het betekend, kan ik aan de slag met het uitwerken hoe dit in zijn werking gaat.
Ik heb gekozen om te kijken naar een programma genaamd ‘ADAXES’.
ADAXUS schreef zelf op hun website het volgende over zichzelf:

‘Adaxes is een op zichzelf staande softwareoplossing die fungeert als een proxy tussen gebruikers en
uw on-premises AD, Azure AD, Exchange en Microsoft 365. Dit betekent dat de standaardtools nog
steeds beschikbaar zijn, zodat u indien nodig altijd kunt terugkeren naar het gebruik ervan en directe
toegang heeft tot uw omgeving op dezelfde manier als voorheen.’
Dit betekend dat ADAXUS dus zorgt dat jij doormiddel van ADAXUS, aanpassingen kan maken aan
je on-premise AD en voor onze self service password reset, is dat ideaal.
De gebruiker kan zelf van buiten het netwerk, of zonder internet, gewoon zijn gegevens aanpassen en
hoeft niet ...
Dit is hoe iemand buiten het netwerk toch gewoon zijn portaal kan gebruiken:
Ook geeft het aan dat het je AD niet vervuild of eigen settings aanpast:

De ADAXUS self service kan je via de portal gebruiken, of kan bij je login scherm, hierbij een
voorbeeld:

Hier zie je reset password staan, als je dat klikt, moet je vervolgens een van de volgende opties kiezen
om jezelf te verificeren:
- Security vragen beantwoorden
- Een security code invullen die je via de SMS krijgt
- Een authenticator app gebruiken op je mobiel.
Voordat de gebruiker de gegevens kan invullen, moet hij ze eerst een keer ingevuld hebben tijdens een
one-time enrolledment procedure, waarbij hij dus of een paar vragen security vragen moet
beantwoorden, of zijn authenticator app moet bevestingen.
Je kan er ook voor zorgen dat de gebruikers automatisch al een enrollment procedure gehad hebben,
door bijvoorbeeld data van de users te gebruiken voor de vragen, zoals ID’s of geboortedatums, dit is
erg handig zodat ook de nieuwe medewerkers altijd covered zijn, hierbij nog een afbeelding ter
verduidelijking:

Je kan het ook een stapje verder nemen als je ook wilt dat een administrator het toelaat, dit gaat zo:

Hierbij zie je dat een user dus zijn wachtwoord wilt resetten doormiddel van de self service en zijn
verificatie heeft voltooid, alleen moet hij nu nog wachten tot een administrator het heeft goedgekeurd,
voordat zijn wachtwoord daadwerkelijk is verandert.
Dit was hoe je het kan doen doormiddel van de ADAXES web interface, die is bereikbaar via
volgende link:
https://<Adaxes server hostname or IP address>:443/Adaxes.
Als je hierop gekomen bent, zie je het volgende:

Zoals je kan zien, is het je eigen portaal, waar je ook de optie change password ziet, hier werkt de
change password net als bij de Windows login screen.
Dit is hoe je in theorie self service password reset kan toepassen op jouw omgeving.