De IT-firma deed zijn werk. Alleen vertelde hij het ons niet.
Op een ochtend kwamen drie medewerkers bij me langs met dezelfde vraag.
“Waarom moet ik mijn RDP-wachtwoord elke keer opnieuw invoeren?”
Vorige week werkte het nog. Nu niet meer. Geen foutmelding, geen aankondiging, gewoon weg.
Ik ben gaan kijken. Het bleek een groepsbeleid. Een GPO die de externe IT-firma een maand eerder had uitgerold bij de inrichting van ons domein. Technisch correct: wachtwoorden opslaan in Windows Credential Manager is een beveiligingsrisico, en de firma had dat dichtgezet. Maar niemand had ons dat verteld. Geen mailtje, geen briefing, geen “let op, dit verandert voor jullie.”
Ik had geen tijd om het goed op te lossen. Ik heb het lokaal omzeild. Het werkte. Het was niet veilig. En het is typisch voor wat er gebeurt als een IT-manager en een externe firma langs elkaar heen werken.
Kort: Active Directory geeft je centraal beheer over alle computers en gebruikers in je netwerk. Nieuwe medewerker, vertrekkende medewerker, software uitrollen, toegang regelen — alles vanaf één plek. Maar technisch goed ingericht is nog niet hetzelfde als goed ingericht voor jouw situatie. Wie de werkomgeving niet begrijpt voordat hij beleid uitrolt, maakt workarounds onvermijdelijk.
Wat een domein doet voor een kantoor
In een kantoor zonder domein heeft elke computer zijn eigen gebruikersbeheer. Nieuwe medewerker? Je loopt langs elk apparaat. Iemand weg? Zelfde verhaal. Software nodig voor het hele team? Je installeert het tien keer.
Met Active Directory beheer je alles centraal. Eén account per medewerker, geldig op elk apparaat in het netwerk. Wat dat in de praktijk oplevert:
Nieuwe medewerker — je maakt één account aan. Hij kan inloggen op elke werkplek, zijn mail staat klaar, zijn toegangsrechten zijn ingesteld. Geen rondlopen.
Vertrekkende medewerker — je zet het account uit. Toegang tot alle systemen, netwerkmappen en applicaties is per direct weg. Geen vergeten wachtwoorden die ergens nog actief staan.
Software uitrollen — via Group Policy kun je programma’s op alle machines tegelijk installeren. Geen USB-sticks, geen handmatig klikken.
Beveiliging afdwingen — schermvergrendeling na vijf minuten inactiviteit, wachtwoordvereisten, blokkering van USB-poorten, verplichte updates. Eén instelling, geldig voor iedereen.
Vanaf tien à vijftien medewerkers is dit geen luxe meer. Het is gewoon overzichtelijker dan alles los bijhouden.
Wat er misgaat als de firma niet vraagt
Active Directory is een krachtig instrument. Maar er zit een kloof tussen “technisch correct geconfigureerd” en “werkbaar voor deze organisatie”.
Grote IT-outsourcingbedrijven werken in tickets. Taak “domein inrichten” — afgevinkt. Volgende klant. De druk om snel te werken en veel af te handelen is reëel, en dat begrijp ik. Maar het betekent wel dat de vraag “hoe werken deze mensen eigenlijk?” er snel bij inschiet.
Niemand vraagt: wie gebruikt RDP, en waarvandaan? Zijn er legacy-applicaties die kuren hebben met bepaalde beleidsregels? Wie heeft beheerdersrechten nodig en wie niet?
Het resultaat: een GPO die klopt op papier maar de werkdag verstoort. Medewerkers lopen naar de IT-manager. De IT-manager heeft geen tijd. Iemand vindt een omweg. De omweg werkt. Niemand documenteert het. Twee jaar later weet niemand meer waarom het zo zit.
Dit is geen kwaad opzet van die bedrijven. Het is een tikketcultuur die geen ruimte laat voor dat ene gesprek vooraf.
Wat het verschil maakt
Een goede implementatie van Active Directory begint niet met de server. Hij begint met vragen.
Welke applicaties gebruikt dit bedrijf? Zijn er mensen die remote werken of RDP-verbindingen gebruiken? Wat zijn de beveiligingseisen, en welke zijn realistisch haalbaar voor deze groep mensen? Wie heeft welk toegangsniveau nodig?
En na de uitrol: een kort overzicht van wat er veranderd is. Geen handleiding van veertig pagina’s. Een mailtje. Drie alinea’s. “Dit werkt nu anders, dit is waarom, dit doe je als er iets misgaat.” Dat kost een uur. Het scheelt maanden aan workarounds die niemand bijhoudt.
Als je een externe IT-firma inhuurt voor dit soort werk, stel dan één vraag voordat je tekent: geven jullie na de implementatie een briefing aan de medewerkers? Als het antwoord nee is, plan je daar zelf tijd voor in. Anders los jij de gevolgen op.
Drie vragen die ik vaak krijg
Hebben we een domein nodig bij acht medewerkers? Hangt ervan af. Geen gedeelde servers, geen RDP, iedereen werkt op een eigen losstaande laptop? Dan kun je het uitstellen. Zodra er een gedeelde bestandsserver is, mensen remote inloggen of je gebruikersbeheer handmatig bijhoudt: dan loont een domein al. De drempel ligt lager dan de meeste kleine bedrijven denken.
Hoe gevaarlijk is het om wachtwoorden op te slaan in Windows? Beperkt risico in de meeste situaties. Als iemand fysiek bij de machine kan en weet wat hij doet, zijn opgeslagen credentials te achterhalen. Voor een klein kantoor zonder gevoelige systemen is dat niet de eerste zorg. In een omgeving met patiëntdata of financiële informatie is het een gesprek waard. Het punt is: als je de instelling wijzigt, leg dat dan uit. Mensen zoeken anders hun eigen oplossing.
Onze IT-firma heeft iets ingesteld wat nu problemen geeft. Wat nu? Vraag om een overzicht van de toegepaste groepsbeleidsregels. Als ze dat niet kunnen geven, is dat al een signaal. Vraag daarna welke GPO het gedrag veroorzaakt, test de wijziging op één machine, en leg het vast. Een dag goed werk nu is beter dan twee jaar werken met een omweg die niemand begrijpt.
Bij de inrichting van een domein horen ook goede back-ups en een helder herstelplan. Lees: ransomware op je kantoor — wat doe je als het misgaat.
Wil je weten of het gebruikersbeheer in jouw kantoor goed in elkaar zit? Ik kijk mee en geef een eerlijk beeld van wat er werkt en wat niet.