Niet iedereen die beheertaken uitvoert hoeft superbeheerder te zijn. Sterker nog, dat zou je juist moeten vermijden. Met gedelegeerd beheer geef je collega's precies de rechten die ze nodig hebben en niets meer. Een helpdeskmedewerker die wachtwoorden reset, hoeft geen toegang tot facturering of beveiligingsinstellingen.
Waarom gedelegeerd beheer
Het principe heet least privilege: geef iedereen het minimale rechtenniveau dat nodig is om het werk te doen. Hoe minder superbeheerders je hebt, hoe kleiner het aanvalsoppervlak. Raakt een account met beperkte rechten gecompromitteerd, dan is de schade beperkt tot wat die rol mocht.
Daarnaast maakt gedelegeerd beheer je organisatie schaalbaar. Je verdeelt taken over meerdere mensen zonder dat iedereen overal bij kan. Een afdelingshoofd beheert alleen zijn eigen OU, een helpdesk doet alleen wachtwoordresets, en facturering blijft bij de financiële afdeling.
Beperk het aantal superbeheerders
Houd het aantal superbeheerders zo klein mogelijk, idealiter twee of drie. Een superbeheerder kan alles, inclusief andere beheerders aanmaken en beveiliging uitzetten. Elke extra superbeheerder is een extra risico. Gebruik gedelegeerde rollen voor al het reguliere beheerwerk en zorg dat elke superbeheerder verplichte tweestapsverificatie heeft.
Vooraf gedefinieerde versus aangepaste rollen
Google biedt een aantal kant-en-klare rollen, zoals Helpdeskbeheerder, Gebruikersbeheer en Servicebeheerder. Voor veel situaties volstaat zo'n vooraf gedefinieerde rol. Past geen enkele standaardrol precies, dan maak je een aangepaste rol waarin je per bevoegdheid aanvinkt wat de rol mag.
Bevoegdheden zijn fijnmazig
Aangepaste rollen laten je op het niveau van individuele bevoegdheden kiezen. Je kunt bijvoorbeeld alleen het recht geven om gebruikers te lezen, zonder het recht om ze te bewerken of te verwijderen. Begin altijd minimaal en breid pas uit wanneer de beheerder een taak niet blijkt te kunnen uitvoeren.
Een aangepaste rol maken
Wil je een rol op maat, maak die dan eerst aan voordat je iemand toewijst.
Aangepaste rol aanmaken
- Ga in de Admin Console naar Menu > Account > Beheerdersrollen.
- Klik op Nieuwe rol maken en geef de rol een duidelijke naam, bijvoorbeeld
Helpdesk wachtwoordreset. - Vink alleen de bevoegdheden aan die de rol nodig heeft, bijvoorbeeld
Gebruikers > Wachtwoord opnieuw instellen. - Controleer de selectie en klik op Maken.
Een rol toewijzen aan een gebruiker
Je kunt een rol toewijzen vanaf de pagina Beheerdersrollen, of rechtstreeks vanuit het gebruikersprofiel.
Beheerdersrol toewijzen stap voor stap
- Ga naar Menu > Account > Beheerdersrollen en wijs de gewenste rol aan.
- Klik op Beheerder toewijzen en daarna op Leden toewijzen.
- Voer de e-mailadressen in (je kunt er meerdere tegelijk toevoegen) en klik op Rol toewijzen.
- Wil je liever via het profiel werken: ga naar Menu > Directory > Gebruikers, open de gebruiker en klik bij Beheerdersrollen en bevoegdheden de rol aan, en sla op.
Scope beperken tot een OU
Een krachtige optie bij het toewijzen is de scope beperken tot een organisatie-eenheid. Wijs je een rol toe met de scope ingesteld op de OU Verkoop, dan kan die beheerder alleen gebruikers binnen Verkoop beheren. Dit is ideaal voor afdelingsbeheerders die wel hun eigen mensen mogen beheren, maar niet die van andere afdelingen.
Stel de scope in nadat je de rol hebt toegewezen: klik naast Alle organisatie-eenheden op Bewerken, kies de gewenste eenheden en klik op Gereed. Zie je geen optie om te bewerken, dan ondersteunt die specifieke rol geen OU-scoping en geldt hij voor de hele organisatie.
Test elke nieuwe rol
Test een nieuwe gedelegeerde rol altijd met een echte taak voordat je hem breed uitrolt. Laat de betrokkene het zelf proberen en controleer of hij precies kan wat de bedoeling is en niets meer. Zo voorkom je dat je per ongeluk te veel of te weinig rechten hebt gegeven. Houd er rekening mee dat een nieuwe roltoewijzing soms enkele minuten nodig heeft om actief te worden.
Beheer en onderhoud
Beheerdersrollen zijn geen set-and-forget. Review periodiek wie welke rol heeft en of dat nog klopt. Vertrekt iemand of verandert van functie, trek dan direct de rol in. Houd ook bij wijzigingen aan rollen het auditlogboek in de gaten, zodat je kunt nagaan wie wat heeft veranderd. Je vindt deze logs onder Menu > Rapportage > Audit en onderzoek > Beheerderslog.
Wat is het verschil tussen superbeheerder en gedelegeerd beheerder?
Een superbeheerder heeft volledige controle over de hele Workspace-omgeving. Een gedelegeerd beheerder heeft alleen de bevoegdheden van de toegewezen rol, eventueel beperkt tot één organisatie-eenheid.
Kan een gedelegeerde beheerder andere beheerders aanmaken?
Alleen als de rol het recht bevat om rollen toe te wijzen. Standaardrollen zoals Helpdeskbeheerder hebben dat recht niet. Geef dit recht spaarzaam, want het maakt rechten-escalatie mogelijk.
Hoeveel beheerdersrollen kan ik maken?
Je kunt een ruim aantal aangepaste rollen aanmaken, voldoende voor vrijwel elke organisatie. Maak alleen rollen die je echt gebruikt, zodat het overzicht behouden blijft.
Kan ik één rol aan meerdere gebruikers toewijzen?
Ja. Een rol kun je aan meerdere gebruikers toewijzen, elk eventueel met een eigen OU-scope. Zo deel je dezelfde bevoegdheden uit aan een heel team.
Kan ik een rol toewijzen aan een groep in plaats van een gebruiker?
Ja. Je kunt een beheerdersrol ook aan een Google-groep koppelen. Iedereen die lid is van de groep krijgt de rol, en wie de groep verlaat verliest hem automatisch. Dat is handig voor teams met wisselende bezetting.
Hoe lang duurt het voordat een nieuwe rol werkt?
Een toegewezen rol is meestal binnen enkele minuten actief. Werkt iets niet meteen, laat de beheerder dan uitloggen en opnieuw inloggen voordat je de rechten gaat aanpassen.