# Een gedelegeerde beheerder aanmaken met beperkte rechten Niet iedereen die beheertaken uitvoert hoeft superbeheerder te zijn. Sterker nog, dat zou je juist moeten vermijden. Met gedelegeerd beheer geef je collega's precies de rechten die ze nodig hebben en niets meer. Een helpdeskmedewerker die wachtwoorden reset, hoeft geen toegang tot facturering of beveiligingsinstellingen. ## Waarom gedelegeerd beheer Het principe heet least privilege: geef iedereen het minimale rechtenniveau dat nodig is om het werk te doen. Hoe minder superbeheerders je hebt, hoe kleiner het aanvalsoppervlak. Raakt een account met beperkte rechten gecompromitteerd, dan is de schade beperkt tot wat die rol mocht. Daarnaast maakt gedelegeerd beheer je organisatie schaalbaar. Je verdeelt taken over meerdere mensen zonder dat iedereen overal bij kan. Een afdelingshoofd beheert alleen zijn eigen OU, een helpdesk doet alleen wachtwoordresets, en facturering blijft bij de financiële afdeling. :::danger title="Beperk het aantal superbeheerders" Houd het aantal superbeheerders zo klein mogelijk, idealiter twee of drie. Een superbeheerder kan alles, inclusief andere beheerders aanmaken en beveiliging uitzetten. Elke extra superbeheerder is een extra risico. Gebruik gedelegeerde rollen voor al het reguliere beheerwerk en zorg dat elke superbeheerder verplichte tweestapsverificatie heeft. ::: ## Vooraf gedefinieerde versus aangepaste rollen Google biedt een aantal kant-en-klare rollen, zoals Helpdeskbeheerder, Gebruikersbeheer en Servicebeheerder. Voor veel situaties volstaat zo'n vooraf gedefinieerde rol. Past geen enkele standaardrol precies, dan maak je een aangepaste rol waarin je per bevoegdheid aanvinkt wat de rol mag. :::info title="Bevoegdheden zijn fijnmazig" Aangepaste rollen laten je op het niveau van individuele bevoegdheden kiezen. Je kunt bijvoorbeeld alleen het recht geven om gebruikers te lezen, zonder het recht om ze te bewerken of te verwijderen. Begin altijd minimaal en breid pas uit wanneer de beheerder een taak niet blijkt te kunnen uitvoeren. ::: ## Een aangepaste rol maken Wil je een rol op maat, maak die dan eerst aan voordat je iemand toewijst. :::howto title="Aangepaste rol aanmaken" 1. Ga in de Admin Console naar **Menu > Account > Beheerdersrollen**. 2. Klik op **Nieuwe rol maken** en geef de rol een duidelijke naam, bijvoorbeeld `Helpdesk wachtwoordreset`. 3. Vink alleen de bevoegdheden aan die de rol nodig heeft, bijvoorbeeld `Gebruikers > Wachtwoord opnieuw instellen`. 4. Controleer de selectie en klik op **Maken**. ::: ## Een rol toewijzen aan een gebruiker Je kunt een rol toewijzen vanaf de pagina Beheerdersrollen, of rechtstreeks vanuit het gebruikersprofiel. :::howto title="Beheerdersrol toewijzen stap voor stap" 1. Ga naar **Menu > Account > Beheerdersrollen** en wijs de gewenste rol aan. 2. Klik op **Beheerder toewijzen** en daarna op **Leden toewijzen**. 3. Voer de e-mailadressen in (je kunt er meerdere tegelijk toevoegen) en klik op **Rol toewijzen**. 4. Wil je liever via het profiel werken: ga naar **Menu > Directory > Gebruikers**, open de gebruiker en klik bij **Beheerdersrollen en bevoegdheden** de rol aan, en sla op. ::: ## Scope beperken tot een OU Een krachtige optie bij het toewijzen is de scope beperken tot een organisatie-eenheid. Wijs je een rol toe met de scope ingesteld op de OU Verkoop, dan kan die beheerder alleen gebruikers binnen Verkoop beheren. Dit is ideaal voor afdelingsbeheerders die wel hun eigen mensen mogen beheren, maar niet die van andere afdelingen. Stel de scope in nadat je de rol hebt toegewezen: klik naast **Alle organisatie-eenheden** op **Bewerken**, kies de gewenste eenheden en klik op **Gereed**. Zie je geen optie om te bewerken, dan ondersteunt die specifieke rol geen OU-scoping en geldt hij voor de hele organisatie. :::tip title="Test elke nieuwe rol" Test een nieuwe gedelegeerde rol altijd met een echte taak voordat je hem breed uitrolt. Laat de betrokkene het zelf proberen en controleer of hij precies kan wat de bedoeling is en niets meer. Zo voorkom je dat je per ongeluk te veel of te weinig rechten hebt gegeven. Houd er rekening mee dat een nieuwe roltoewijzing soms enkele minuten nodig heeft om actief te worden. ::: ## Beheer en onderhoud Beheerdersrollen zijn geen set-and-forget. Review periodiek wie welke rol heeft en of dat nog klopt. Vertrekt iemand of verandert van functie, trek dan direct de rol in. Houd ook bij wijzigingen aan rollen het auditlogboek in de gaten, zodat je kunt nagaan wie wat heeft veranderd. Je vindt deze logs onder **Menu > Rapportage > Audit en onderzoek > Beheerderslog**. :::faq ### Wat is het verschil tussen superbeheerder en gedelegeerd beheerder? Een superbeheerder heeft volledige controle over de hele Workspace-omgeving. Een gedelegeerd beheerder heeft alleen de bevoegdheden van de toegewezen rol, eventueel beperkt tot één organisatie-eenheid. ### Kan een gedelegeerde beheerder andere beheerders aanmaken? Alleen als de rol het recht bevat om rollen toe te wijzen. Standaardrollen zoals Helpdeskbeheerder hebben dat recht niet. Geef dit recht spaarzaam, want het maakt rechten-escalatie mogelijk. ### Hoeveel beheerdersrollen kan ik maken? Je kunt een ruim aantal aangepaste rollen aanmaken, voldoende voor vrijwel elke organisatie. Maak alleen rollen die je echt gebruikt, zodat het overzicht behouden blijft. ### Kan ik één rol aan meerdere gebruikers toewijzen? Ja. Een rol kun je aan meerdere gebruikers toewijzen, elk eventueel met een eigen OU-scope. Zo deel je dezelfde bevoegdheden uit aan een heel team. ### Kan ik een rol toewijzen aan een groep in plaats van een gebruiker? Ja. Je kunt een beheerdersrol ook aan een Google-groep koppelen. Iedereen die lid is van de groep krijgt de rol, en wie de groep verlaat verliest hem automatisch. Dat is handig voor teams met wisselende bezetting. ### Hoe lang duurt het voordat een nieuwe rol werkt? Een toegewezen rol is meestal binnen enkele minuten actief. Werkt iets niet meteen, laat de beheerder dan uitloggen en opnieuw inloggen voordat je de rechten gaat aanpassen. :::