# Organisatie-eenheden (OU's) instellen in Google Workspace Organisatie-eenheden (organizational units, OU's) zijn de ruggengraat van het beheer in Google Workspace. Met deze boomstructuur bepaal je welke instellingen en welk beleid gelden voor welke gebruikers. Zo geef je bijvoorbeeld de marketingafdeling toegang tot een functie die de rest van de organisatie niet heeft, zonder iedereen apart te configureren. ## Wat is een organisatie-eenheid? Elke Google Workspace-organisatie heeft een organisatie-eenheid op het hoogste niveau, vaak je domeinnaam. Daaronder maak je sub-OU's aan, bijvoorbeeld per afdeling, locatie of functie. De structuur lijkt op een mappenboom: een OU kan onderliggende OU's bevatten. Belangrijke regels om te onthouden: - Een gebruiker zit altijd in **precies een** organisatie-eenheid. - De OU op het hoogste niveau kun je **niet verwijderen** en niet hernoemen tot iets buiten je organisatie. - Nieuwe gebruikers belanden standaard in de OU op het hoogste niveau, tenzij je ze bij het aanmaken in een sub-OU plaatst. - Een schuine streep (`/`) is niet toegestaan in de naam van een organisatie-eenheid. ## Overerving van instellingen Het krachtigste principe achter OU's is overerving. Een sub-OU neemt standaard alle instellingen over van de OU erboven. Pas je een instelling aan op een sub-OU, dan geldt die aangepaste waarde alleen voor die OU en de eenheden daaronder. :::info title="Overgenomen versus overschreven" Zolang je een instelling niet wijzigt, staat een sub-OU op 'Overgenomen'. Wijzig je hem, dan verandert de status naar 'Overschreven'. Je kunt altijd terug naar de overgenomen waarde. ::: Dit betekent dat je het beste algemene beleid op het hoogste niveau instelt en alleen uitzonderingen op lager gelegen OU's regelt. Hoe minder uitzonderingen, hoe overzichtelijker je beheer blijft. ## Een organisatie-eenheid aanmaken Je beheert OU's in de [Google Admin-console](https://admin.google.com) onder **Menu > Directory > Organisatie-eenheden**. Hiervoor heb je het beheerdersrecht voor organisatie-eenheden nodig. :::howto title="Een sub-OU aanmaken" 1. Open in de Admin-console **Menu > Directory > Organisatie-eenheden**. 2. Beweeg over de bovenliggende OU en klik op **Nieuwe organisatie-eenheid maken**. 3. Geef de eenheid een herkenbare naam (geen `/` in de naam) en eventueel een omschrijving. 4. Klik op **Maken** om te bevestigen. ::: Kies namen die voor jaren houdbaar zijn, bijvoorbeeld op afdeling in plaats van op een tijdelijk project. Het verplaatsen van gebruikers kan later, maar een doordachte opzet bespaart werk. ## Gebruikers indelen in een OU Gebruikers verplaats je via **Menu > Directory > Gebruikers**. Selecteer een of meer gebruikers en kies de optie om ze naar een andere organisatie-eenheid te verplaatsen. Zodra een gebruiker in de nieuwe OU staat, krijgt die binnen korte tijd de instellingen van die eenheid. :::tip title="Meerdere gebruikers tegelijk verplaatsen" Gebruik de selectievakjes om meerdere gebruikers tegelijk te selecteren en in een keer te verplaatsen. Dat scheelt veel handmatig werk bij een reorganisatie. ::: ## Wanneer gebruik je OU's en wanneer groepen? Dit is de meest gemaakte denkfout bij beheerders. De vuistregel: - **OU's** bepalen welke **instellingen en welk beleid** een gebruiker krijgt (denk aan toegang tot apps, beveiligingsbeleid, beschikbare functies). Een gebruiker zit in precies een OU. - **Groepen** dienen vooral voor **communicatie en toegang** (mailinglijsten, gedeelde mappen, gezamenlijke agenda's). Een gebruiker kan in meerdere groepen zitten. Voor uitzonderingen op je beleid kun je een zogeheten configuratiegroep gebruiken: daarmee overschrijf je voor een selecte set gebruikers de instelling van hun OU, ongeacht in welke OU ze zitten. Handig wanneer enkele mensen verspreid over afdelingen een extra functie nodig hebben. De basisstructuur voor beleid blijft de OU; configuratiegroepen zijn voor de uitzonderingen. Meer over groepen lees je in [[groups-ous-google-groups-beheren|Google Groups beheren in de Admin-console]]. ## Veelgemaakte fouten vermijden - Maak niet voor elk klein verschil een nieuwe OU; dat maakt de boom onoverzichtelijk. - Test een nieuwe instelling eerst op een kleine test-OU voordat je hem breed uitrolt. - Wijzigingen kunnen even duren voordat ze bij alle gebruikers actief zijn; reken op enige propagatietijd. :::warn title="Let op verlies van toegang" Verplaats een gebruiker niet zomaar naar een OU met strenger beleid zonder de gevolgen te overzien. Een gebruiker kan daardoor onverwacht toegang verliezen tot apps of functies. ::: Met een doordachte OU-structuur en spaarzaam gebruik van uitzonderingen houd je het beheer van je Google Workspace-omgeving schaalbaar en overzichtelijk. :::faq ### Hoeveel organisatie-eenheden kan ik aanmaken? Je kunt een ruime hierarchie opbouwen met veel sub-OU's, genest tot meerdere niveaus diep. In de praktijk is het verstandig de boom beperkt en overzichtelijk te houden in plaats van het maximum op te zoeken; maak alleen een OU aan als die echt een eigen set instellingen nodig heeft. ### Kan een gebruiker in meerdere OU's tegelijk zitten? Nee. Een gebruiker zit altijd in precies een organisatie-eenheid en erft de instellingen daarvan. Wil je voor een selecte groep gebruikers een afwijkende instelling, gebruik dan een configuratiegroep om de OU-instelling te overschrijven. ### Wat gebeurt er met de instellingen als ik een gebruiker verplaats? De gebruiker krijgt de instellingen van de nieuwe OU. Dat gaat niet altijd direct; reken op enige propagatietijd voordat alle wijzigingen actief zijn op alle apparaten en diensten. ### Wat is het verschil tussen 'Overgenomen' en 'Overschreven'? 'Overgenomen' betekent dat de sub-OU dezelfde waarde gebruikt als de OU erboven. Zodra je die waarde aanpast, staat de instelling op 'Overschreven' en geldt de afwijkende waarde alleen voor die OU en de eenheden daaronder. Je kunt op elk moment terug naar de overgenomen waarde. ### Kan ik de organisatie-eenheid op het hoogste niveau verwijderen? Nee. De OU op het hoogste niveau is vast: je kunt hem niet verwijderen. Je bouwt je structuur op met sub-OU's eronder. :::