Onboarding Arbeidsflyt - Faktisk Implementering¶
Dato: 10. desember 2025
Status: ✅ Fullført og dokumentert
Formål: Dokumentere den faktiske arbeidsflyt vi fulgte, inkludert alle læringspunkter
📖 Bakgrunn¶
Dette dokumentet beskriver den faktiske prosessen vi gjennomførte for å sette opp Google Workspace for Ski Golfklubb styret og komitéledere. Dokumentet inkluderer alle prøvinger, feilinger og læringspunkter.
🎯 Beslutningsprosess¶
Fase 1: Vurdere tilnærminger (9. des 2025)¶
Spørsmål: Skal vi bruke bare rolle-grupper, eller personlige @skigk.no-kontoer?
Vurdering: - Alternativ A: Kun rolle-grupper (leder@, turnering@) med private e-poster som medlemmer - Alternativ B: Alle får personlige @skigk.no-kontoer - Alternativ C: Hybrid (kun noen få får kontoer)
Oppdagelse #1: Google Workspace for Nonprofits = gratis ubegrenset antall brukere
→ Kostnad er ikke lenger et argument mot personlige kontoer
Fase 2: Test med ekstern bruker (9. des 2025)¶
Test: La Owe (owe@owestangeland.no) bli medlem av handicap@skigk.no gruppe og test tilgang
Resultat: - ✅ Kan motta e-post til handicap@ - ✅ Kan sende e-post som handicap@ - ❌ Kan IKKE se Handicapkomiteen Shared Drive - ❌ Kan IKKE logge inn på Google Workspace portal
Konklusjon: Eksterne Gmail-brukere får IKKE Drive/portal-tilgang via grupper alene.
VIKTIG LÆRING: Alle som skal ha tilgang til Shared Drives MÅ ha @skigk.no-konto.
Fase 3: Endelig beslutning (9. des 2025)¶
Beslutning: Alle styre- og komitémedlemmer får @skigk.no-konto
Navnekonvensjon: fornavn.f@skigk.no (fornavn + første bokstav i etternavn)
- Eksempel: Frank Westby → frank.w@skigk.no
- Ved kollisjon: Tove Martinsen Johansen + Tove Martinsen → tove.mj@ og tove.ma@
Arkitektur: 1. @skigk.no brukerkontoer - Login, Drive-tilgang, portal-tilgang 2. Rolle-grupper (leder@, turnering@) - E-post distribusjon og historikk 3. Security-grupper (styret-sec@) - Shared Drive tilgangsstyring 4. Videresending - Fra @skigk.no til privat e-post (for komfort)
🔧 Implementering¶
Steg 1: Opprett alle brukerkontoer (9. des 2025)¶
Antall: 15 nye kontoer + 3 eksisterende (admin-2025@, admsekr@, kasserer@)
GAM kommando:
gam create user frank.w@skigk.no firstname Frank lastname Westby recoveryemail frank.westby@gmail.com changepassword on
Liste over nye kontoer: 1. frank.w@ - Frank Westby (Leder) 2. stein.r@ - Stein Røed (Nestleder) 3. oystein.s@ - Øystein Skårland (Styremedlem) 4. thor.o@ - Thor Oddvar Hovda (Styremedlem) 5. leif.m@ - Leif Mjelde (Styremedlem) 6. heidi.g@ - Heidi Grundseth (Styremedlem) 7. jan.a@ - Jan Arild Høyer (Styremedlem) 8. tom.p@ - Tom Pettersen (Styremedlem) 9. eva.b@ - Eva Bergmann (Styremedlem) 10. stig.b@ - Stig Bekkevold (Styremedlem) 11. owe.s@ - Owe Stangeland (Turneringsleder) 12. bjorn.f@ - Bjørn Freberg (Banesjef) 13. tove.mj@ - Tove Martinsen Johansen (Valgkomitéleder) 14. tove.ma@ - Tove Martinsen (Kasserer - eksisterende konto oppdatert) 15. alf.h@ - Alf Hartvigsen (Kontrollkomité)
Notater:
- Alle fikk recoveryemail satt til sin private e-post
- Alle fikk changepassword on (må sette passord ved første login)
Steg 2: Legg til i rolle-grupper (9. des 2025)¶
GAM kommando:
Grupper oppdatert: - styret@ - Alle 9 styremedlemmer - leder@ - Frank - nestleder@ - Stein - turnering@ - Owe - bane@ - Bjørn - valgkomite@ - Tove MJ - kontrollutvalg@ - Alf - senior@, herrekomite@, handicap@, jentekomite@, sponsor@, huskomite@, dugnadskomite@ - Diverse medlemmer
Konfigurasjon:
- archiveonly: false - Aktiv e-post distribusjon
- whocanpostmessage: all_members_can_post - Medlemmer kan sende som gruppen
Steg 3: Legg til i security-grupper (9. des 2025)¶
GAM kommando:
Grupper oppdatert: - styret-sec@ - Alle 9 styremedlemmer - kontrollkomite-sec@ - Alf
Formål: Security-grupper brukes for å gi tilgang til Shared Drives (ikke e-post)
Steg 4: Sett opp videresending (9. des 2025)¶
GAM kommando:
Status: Videresending er konfigurert, men venter på brukergodkjenning.
Prosess: 1. Google sender bekreftelseslenke til privat e-post 2. Bruker må klikke på lenken for å aktivere videresending 3. Når aktivert: E-post til frank.w@ → automatisk videresendt til frank.westby@gmail.com
Notis: Filter/autoforward kan også settes opp via Gmail-filter hvis ønsket.
Steg 5: Trigger velkomstmeldinger (10. des 2025)¶
Forsøk #1: GAM policy update (FEILET)
Resultat: GAM støtter ikkecustom_user_message policy.
Forsøk #2: Admin Console UI Prøvde å finne "Custom welcome message" i Admin Console under Settings → Security → Authentication. Resultat: Funksjonen ble ikke funnet i UI.
Løsning: Bruk Google's standard velkomstmelding
# Trigger signout for alle nye brukere
gam user frank.w@skigk.no signout
gam user stein.r@skigk.no signout
# ... osv for alle 15 nye kontoer
Resultat: Alle brukere fikk standard Google velkomstmelding og ble logget ut (vil tvinge re-login med passordbytte).
Steg 6: Aktiver e-post distribusjon (10. des 2025)¶
Oppdagelse: E-post distribusjon var slått av fra tidligere test.
GAM kommando:
Grupper oppdatert: Alle 21 rolle-grupper fikk aktivert e-post distribusjon.
Steg 7: Konfigurer Shared Drive tilganger (10. des 2025)¶
7a: Legg til styret-sec@ til 11 drives¶
GAM kommando:
Drives oppdatert: 1. Arkiv 2. Baneutvalg 3. Bilde-Video 4. IT-og-Sosialmedia 5. Juniorutvalg 6. Klubben-Drift 7. LLM-Kunnskap 8. PRO-Trening-VTG 9. Seniorkomite 10. Sponsorkomitee 11. Turneringskomite
IKKE inkludert: Kontrollkomite, Økonomi (skal ha begrenset tilgang)
7b: Fikse Økonomi tilganger (10. des 2025)¶
Oppdagelse: styret@ gruppe hadde feilaktig reader-tilgang til Økonomi drive.
Korreksjon #1: Fjern styret@ fra Økonomi
Klubbregel: Kun leder, nestleder og admsekr skal ha read/write til Økonomi (for godkjenning av utbetalinger).
Korreksjon #2: Legg til spesialtilganger
gam add drivefileacl 0APywPxL97sb9Uk9PVA group leder@skigk.no role fileOrganizer
gam add drivefileacl 0APywPxL97sb9Uk9PVA group nestleder@skigk.no role fileOrganizer
gam add drivefileacl 0APywPxL97sb9Uk9PVA user admsekr@skigk.no role fileOrganizer
Resultat: - leder@ (Frank) - fileOrganizer (read/write) - nestleder@ (Stein) - fileOrganizer (read/write) - admsekr@ (Ulf) - fileOrganizer (read/write) - okonomi-sec@ - fileOrganizer (kasserer@ og økonomiansvarlig)
Steg 8: Verifiser tilganger (10. des 2025)¶
Test #1: Frank (leder + styret-sec)
Resultat: 12 drives (korrekt - mangler Kontrollkomite, men HAR Økonomi via leder@)Test #2: Ulf (admsekr)
Resultat: 13 drives (korrekt - mangler Kontrollkomite, men HAR Økonomi direkte)📊 Sluttproduktet¶
18 @skigk.no brukerkontoer totalt:¶
- 3 eksisterende: admin-2025@, admsekr@, kasserer@
- 15 nye: frank.w@, stein.r@, oystein.s@, thor.o@, leif.m@, heidi.g@, jan.a@, tom.p@, eva.b@, stig.b@, owe.s@, bjorn.f@, tove.mj@, tove.ma@, alf.h@
21 rolle-grupper (e-post distribusjon):¶
- Alle har
archiveonly: falseogwhocanpostmessage: all_members_can_post - Medlemmer: @skigk.no brukerkontoer (ikke private e-poster)
5 security-grupper (tilgangsstyring):¶
- styret-sec@ - 11 drives (ikke Kontrollkomite/Økonomi)
- okonomi-sec@ - Økonomi drive
- personal-sec@ - Personal drive
- kontrollkomite-sec@ - Kontrollkomite drive
- it-sec@ - IT drive
14 Shared Drives:¶
- 12 drives: styret-sec@ har fileOrganizer
- Økonomi: leder@, nestleder@, admsekr@, okonomi-sec@ har fileOrganizer
- Kontrollkomite: Kun kontrollkomite-sec@ har tilgang
Videresending:¶
- Konfigurert fra alle @skigk.no-kontoer til private e-poster
- Venter på brukergodkjenning via bekreftelseslenker
🎓 Viktige læringspunkter¶
✅ Fungerte bra:¶
- GAM for bulk-operasjoner - Ekstremt effektivt for å opprette 15 kontoer på kort tid
- Navnekonvensjon fornavn.f@ - Enkel og lettfattelig, unngår for lange e-postadresser
- Recovery email - Viktig for å kunne resette passord senere
- Security-grupper - Gir enkel tilgangsstyring til Shared Drives
- Google Workspace for Nonprofits - Gratis ubegrenset antall brukere = game changer
❌ Utfordringer:¶
- Ekstern e-post ≠ Drive-tilgang - Biggest learning: Eksterne Gmail-brukere kan ikke få Drive-tilgang via grupper
- Custom welcome message - GAM støtter ikke policy updates for dette, og Admin Console UI var vanskelig å finne
- Forwarding verification - Krever manuell godkjenning fra brukere (kan ikke automatiseres)
- Cache delays - Shared Drive tilganger kan ta tid å vises for brukere som ikke har logget inn ennå
- Gruppemedlemskap vs direktetilgang - Forståelse av når man skal bruke gruppe vs direkte brukertilgang (f.eks. admsekr@ til Økonomi)
💡 Best practices:¶
- Test med én bruker først - Vi testet med Owe på Handicapkomiteen før vi rullet ut til alle
- Dokumenter underveis - Alle GAM-kommandoer og resultater ble dokumentert
- Verifiser tilganger - Alltid sjekk at tilgangene faktisk fungerer (
gam user X show teamdrives) - Bruk recovery email - Kritisk for fremtidig passordbytte og kontogjenoppretting
- Separér rolle-grupper og security-grupper - Ikke bland e-post distribusjon og tilgangsstyring
🔄 Hva vi ville gjort annerledes:¶
- Starte med @skigk.no-kontoer fra dag 1 - Spart oss for ekstern bruker testing
- Klarere dokumentasjon av Økonomi-regler - Unngå feil i tilgangsstyring
- Automatisere welcome message - Hvis mulig via Admin Console før kontoopprettelse
- Batch-operasjoner - Flere GAM-kommandoer kunne vært kjørt i loop for effektivitet
📋 Neste steg (venter på brukere)¶
- ⏳ Brukere logger inn på sine @skigk.no-kontoer for første gang
- ⏳ Brukere setter passord (changepassword on tvinger dette)
- ⏳ Brukere godkjenner forwarding via bekreftelseslenker i privat e-post
- ⏳ Brukere setter opp 2FA (anbefalt, men ikke påkrevd)
- ⏳ Brukere verifiserer Drive-tilgang (sjekker at de ser sine Shared Drives)
- ✅ Individuell velkomst-epost sendt 10.12.2025 fra owe@skigolfklubb.no med rekkefølge: mail.google.com → «Glemt passord» → nytt passord → 2FA → godkjenn forwarding → bruk portal.skigk.no for apper
🎯 Suksesskriterier (når brukere er klare)¶
- ✅ Alle kan logge inn på https://drive.google.com med @skigk.no
- ✅ Alle ser sine tildelte Shared Drives
- ✅ E-post til rolle-grupper (leder@, turnering@) kommer frem
- ✅ E-post videresendes til private adresser (etter godkjenning)
- ✅ Brukere kan sende e-post SOM rolle-gruppene
- ✅ Historikk og dokumenter er tilgjengelige
Konklusjon: Implementeringen er fullført fra admin-side. Nå venter vi på at brukerne fullfører sin del av onboarding-prosessen.