# Geavanceerde OU-structuren in Google Workspace

## Waarom OU-structuur belangrijk is

Organisatie-eenheden (OU's) bepalen hoe beleidsregels in Google Workspace worden toegepast. Een instelling in een bovenliggende OU erft automatisch naar alle sub-OU's, tenzij je de instelling op een lager niveau overschrijft. Een goed ontworpen OU-structuur maakt beleidsbeheer voorspelbaar en onderhoudbaar.

Een veelgemaakte fout is de OU-structuur een-op-een kopieren van het organogram. Dat leidt vaak tot te veel OU's en onnodig beheer. Ontwerp OU's op basis van welke groepen gebruikers daadwerkelijk verschillende instellingen nodig hebben.

## Ontwerpprincipes

- **Minimale diepte**: houd de OU-hierarchie zo ondiep mogelijk. Meer dan vier niveaus is in de praktijk vrijwel nooit nodig en maakt het overzicht lastiger.
- **Beleid als leidraad**: maak alleen een aparte OU als die groep een andere instelling nodig heeft dan de bovenliggende OU. Geen verschil in beleid betekent geen aparte OU.
- **Gebruikers en apparaten gescheiden**: gebruikers en apparaten kunnen in aparte OU-takken staan. Het is vaak handig een tak `Apparaten/` te houden naast `Gebruikers/`, zodat apparaatbeleid los staat van gebruikersbeleid.
- **Speciale gevallen apart**: maak een OU voor tijdelijke medewerkers, externen, serviceaccounts en testgebruikers. Zo pas je strenger of milder beleid toe zonder de hoofdstructuur te raken.

## Voorbeeld van een OU-structuur

```
/ (root)
├── Medewerkers/
│   ├── Intern/
│   │   ├── IT/
│   │   ├── Finance/
│   │   └── Sales/
│   └── Extern/
│       └── Contractanten/
├── Apparaten/
│   ├── Beheerd/
│   └── BYOD/
└── Systeem/
    └── Serviceaccounts/
```

## Een OU aanmaken en indelen

:::howto title="Zo maak je een nieuwe OU aan"
1. Ga naar [admin.google.com](https://admin.google.com) en log in als beheerder.
2. Open het menu en ga naar **Directory** en dan **Organisatie-eenheden**.
3. Beweeg met de muis over de gewenste bovenliggende OU en klik op **Nieuwe organisatie-eenheid maken**.
4. Geef de OU een naam met een consistente naamgeving (bijvoorbeeld PascalCase of kebab-case in het hele domein).
5. Klik op **Maken**.
:::

Gebruikers verplaatsen naar een andere OU doe je via **Directory** en dan **Gebruikers**. Selecteer een of meer gebruikers, kies **Meer opties** en dan **Verplaatsen** (of open het profiel en klik op de organisatie-eenheid), en selecteer de doel-OU.

## Beleid overschrijven per OU

Elk beleidsitem in de Admin Console toont bovenaan voor welke OU je de instelling bekijkt. Selecteer een sub-OU en pas de instelling aan. Je kunt per instelling kiezen om de waarde van de bovenliggende OU te erven of te overschrijven.

:::warn title="Controleer altijd de geselecteerde OU"
Controleer bij elke wijziging voor welke OU je de instelling aanpast. Het is makkelijk om per ongeluk een instelling in de root-OU te wijzigen in plaats van de bedoelde sub-OU, waardoor de wijziging voor het hele domein geldt.
:::

## Bulk gebruikers verplaatsen via CSV

Voor grote verplaatsingen is de CSV-functie het snelst.

:::howto title="Gebruikers in bulk verplaatsen"
1. Ga naar **Directory** en dan **Gebruikers** en exporteer de gebruikerslijst naar een CSV-bestand.
2. Pas in het bestand de kolom `New Org Unit Path [Upload Only]` (of `Org Unit Path`) aan naar het juiste OU-pad.
3. Upload het bestand opnieuw via **Gebruikers in bulk bijwerken** en bevestig de wijzigingen.
:::

:::tip title="Test eerst op een kleine groep"
Probeer een bulkverplaatsing eerst uit op enkele testgebruikers in een aparte OU. Zo zie je of het beleid en de app-toegang van de doel-OU het verwachte effect hebben voordat je honderden accounts verplaatst.
:::

## OU-wijzigingen loggen en controleren

Elke OU-wijziging wordt vastgelegd in het beheerdersauditlog. Ga naar **Rapportage** en dan **Audit en onderzoek** en dan **Logevenementen voor beheerder**, en filter op gebeurtenissen rond organisatie-eenheden (zoals het aanmaken, hernoemen of verwijderen van een OU). Zo houd je bij wie wanneer welke structuurwijziging heeft doorgevoerd.

:::faq
### Kan een gebruiker in meerdere OU's tegelijk staan?
Nee, elke gebruiker hoort bij precies een OU. Wil je beleid of toegang toepassen op leden uit verschillende OU's, gebruik dan groepen. Groepsgebaseerd beleid werkt los van de OU-structuur.

### Wat gebeurt er met het beleid als ik een gebruiker naar een andere OU verplaats?
De instellingen van de nieuwe OU gaan vrijwel direct gelden. Dit kan invloed hebben op beschikbare apps, services, beveiligingsbeleid en andere instellingen, dus controleer de doel-OU vooraf.

### Kan ik een OU hernoemen zonder dat beleid verloren gaat?
Ja. Het hernoemen van een OU heeft geen effect op de bijbehorende instellingen of op de gebruikers en apparaten die erin zitten. De gekoppelde beleidsregels blijven gewoon staan.

### Hoe diep mag mijn OU-hierarchie zijn?
Google staat een ruime nesting toe, maar in de praktijk loop je tegen overzichtsproblemen aan ver voordat je een technische grens raakt. Houd het bij voorkeur op maximaal vier niveaus diep.

### Hoeveel OU's kan ik aanmaken?
Voor de meeste organisaties speelt het aantal geen rol, omdat de limiet ruim boven het praktische gebruik ligt. Raadpleeg de actuele Google Workspace Admin-documentatie als je een zeer groot aantal OU's verwacht, want de exacte limieten kunnen per abonnement verschillen.

### Wat is het verschil tussen een OU en een groep?
Een OU bepaalt welk beleid en welke services standaard gelden en elke gebruiker zit in precies een OU. Een groep is flexibeler: een gebruiker kan in meerdere groepen zitten, en groepen gebruik je voor e-maillijsten, gedeelde toegang en aanvullend beleid dwars door de OU-structuur heen.
:::