# Adminrechten beperken en verfijnen in Google Workspace Te ruime adminrechten zijn een van de grootste, en meest onderschatte, beveiligingsrisico's in een Workspace-omgeving. Wie meer mag dan nodig, kan per ongeluk of bij compromittering veel schade aanrichten. Het verfijnen van adminrechten draait om één principe: geef precies genoeg, nooit meer. ## Het least-privilege-principe Least privilege betekent dat elke beheerder alleen de bevoegdheden krijgt die hij voor zijn taak nodig heeft. Een helpdeskmedewerker reset wachtwoorden, dus krijgt hij het recht om wachtwoorden te resetten en niets anders. Hij hoeft geen facturering te zien, geen beveiligingsbeleid te wijzigen en geen gebruikers te verwijderen. Dit principe verkleint het aanvalsoppervlak. Wordt een account gekaapt, dan is de schade beperkt tot wat die rol mocht. Het maakt ook fouten minder erg: wie geen toegang heeft tot een gevaarlijke instelling, kan die ook niet per ongeluk verzetten. :::danger title="Superbeheerders kunnen alles" Superbeheerders kunnen elke instelling wijzigen, inclusief het uitschakelen van beveiliging en het aanmaken van nieuwe beheerders. Houd dit aantal extreem laag, idealiter twee tot drie personen, allemaal met een hardware-beveiligingssleutel als tweestapsverificatie. Elke overbodige superbeheerder vergroot je risico aanzienlijk. ::: ## Aangepaste rollen als basis De standaardrollen van Google zijn een prima startpunt, maar ze passen niet altijd precies. Een aangepaste rol laat je op bevoegdheidsniveau kiezen wat de rol mag. Je vinkt bijvoorbeeld alleen `Gebruikers lezen` en `Wachtwoord resetten` aan, en laat alle andere rechten uit. :::info title="Begin minimaal" Maak een nieuwe rol altijd zo klein mogelijk en breid pas uit wanneer blijkt dat een beheerder een legitieme taak niet kan uitvoeren. Andersom werken, alles aanzetten en later weghalen, leidt bijna altijd tot vergeten rechten die te ruim blijven staan. ::: ## Scope beperken met OU's Naast welke bevoegdheden een rol heeft, bepaal je ook waarop die bevoegdheden van toepassing zijn. Door een rol toe te wijzen met de scope ingesteld op één organisatie-eenheid, geef je de beheerder alleen zeggenschap over die OU. Een afdelingsbeheerder beheert zo uitsluitend zijn eigen mensen. Let op dat niet elke bevoegdheid OU-scoped kan zijn. Google staat een OU-scope alleen toe voor een vaste set categorieën, waaronder Gebruikers, Organisatie-eenheden, Chrome-beheer, Gebruikersbeveiliging en een aantal Vault-rechten. Voeg je een bevoegdheid toe die buiten die set valt, dan geldt de rol ineens voor de hele organisatie in plaats van voor de gekozen OU. :::howto title="Adminrechten verfijnen stap voor stap" 1. Open in de Admin Console het onderdeel **Beheerdersrollen** (onder Account, of via Directory afhankelijk van je console-versie). 2. Maak een **nieuwe rol** en vink uitsluitend de strikt noodzakelijke bevoegdheden aan. 3. Open de rol, ga naar **Beheerders** en klik op **Rol toewijzen**. 4. Voeg de gebruiker toe en stel de **scope** in op de relevante organisatie-eenheid. 5. Klik op **Klaar** en bevestig de toewijzing. 6. Test de rol door de taak uit te voeren en controleer dat niets extra's mogelijk is. ::: ## Reviews en hygiëne Rechten die ooit klopten, kloppen niet altijd nog. Mensen veranderen van functie, projecten eindigen, collega's vertrekken. Plan daarom minstens elk kwartaal een review van alle beheerdersrollen en wie ze heeft. Trek rechten in zodra ze niet meer nodig zijn. :::tip title="Documenteer waarom een rol bestaat" Leg per rol vast waarom hij bestaat en wie hem hoort te hebben. Bij een review zie je dan snel of een toewijzing nog klopt. Een rol zonder duidelijke reden is een kandidaat om te verwijderen. ::: ## Auditlog als controle Wijzigingen aan rollen en rechten verschijnen in het auditlogboek. Controleer dit regelmatig, of stel waarschuwingen in voor gevoelige acties zoals het toewijzen van superbeheerderrechten. Zo merk je het direct als iemand meer rechten krijgt dan de bedoeling is. :::warn title="Houd altijd een werkend superbeheerderaccount" Verwijder nooit zomaar de rol van je laatste actieve superbeheerder en zorg dat je altijd toegang houdt tot minstens één superbeheerderaccount met werkende tweestapsverificatie. Bewaar de bijbehorende herstelcodes en beveiligingssleutel op een veilige plek. Raak je buitengesloten, dan is herstel een moeizaam proces via Google-support. ::: :::faq ### Wat is het verschil tussen een rol beperken en de scope beperken? Een rol beperken gaat over welke bevoegdheden erin zitten. De scope beperken gaat over op welke organisatie-eenheden die bevoegdheden van toepassing zijn. Je combineert beide voor maximale controle. ### Hoeveel superbeheerders moet ik hebben? Zo min mogelijk, idealiter twee of drie. Je hebt er minstens twee nodig voor continuïteit bij ziekte of vertrek, maar elke extra is een risico. Alle reguliere taken regel je via gedelegeerde rollen. ### Kan ik bestaande standaardrollen aanpassen? De vooraf gedefinieerde rollen van Google kun je niet wijzigen. Wil je een variant, maak dan een aangepaste rol en stel die naar wens in. ### Waarom geldt mijn rol ineens voor de hele organisatie in plaats van één OU? Dan zit er een bevoegdheid in die geen OU-scope ondersteunt. Alleen een vaste set categorieën, zoals Gebruikers en Chrome-beheer, kun je tot een organisatie-eenheid beperken. Haal de niet-ondersteunde bevoegdheid eruit om de OU-scope terug te krijgen. ### Hoe weet ik of een beheerder te veel rechten heeft? Vergelijk de toegewezen bevoegdheden met de taken die de persoon daadwerkelijk uitvoert. Alles wat hij heeft maar niet gebruikt, is een kandidaat om weg te halen. ### Hoe vaak moet ik adminrollen reviewen? Plan minimaal een kwartaalreview en doe daarnaast een extra check bij elke functiewijziging of vertrek. Zo voorkom je dat rechten ongemerkt te ruim blijven staan. :::