Een beheerder die zichzelf buitensluit is een serieus probleem, want zonder beheerderstoegang kun je niets in de Admin Console wijzigen. Hoe je dit oplost, hangt vooral af van of je vooraf hebt gezorgd voor een tweede ingang. Hieronder lopen we de scenario's af, van snel en simpel naar traag en streng.
Het beste scenario: een tweede beheerder
De snelste en veiligste oplossing is een andere beheerder. Een tweede supergebruiker kan de 2SV en het wachtwoord van de buitengesloten collega in enkele minuten resetten, zonder Google erbij te betrekken.
Herstel via een tweede beheerder
- Laat de tweede beheerder inloggen op
admin.google.com. - Ga naar Directory > Gebruikers en open de buitengesloten beheerder.
- Reset de 2SV-inschrijving via het tabblad Beveiliging.
- Reset het wachtwoord en zet Wijziging verplicht bij volgende aanmelding aan.
- Laat de buitengesloten beheerder opnieuw inloggen en nieuwe factoren registreren.
Twee supergebruikers is geen luxe
Dit is precies waarom elke organisatie minstens twee supergebruikers en een break-glass-account hoort te hebben. Met die voorzorg is een lockout een kwestie van minuten in plaats van dagen.
Zelfherstel door de supergebruiker
Als je vooraf de optie Supergebruikers mogen hun account herstellen hebt aangezet (in de Admin Console onder Beveiliging > Authenticatie > Accountherstel), kan de buitengesloten supergebruiker mogelijk zonder hulp terug. Dat werkt alleen als er vooraf een herstel-telefoonnummer of herstel-e-mailadres is ingesteld.
Zelfherstel proberen
- Klik op de aanmeldpagina op Wachtwoord vergeten?.
- Ontvang de verificatiecode via sms, telefoon of het ingestelde herstel-e-mailadres.
- Volg de stappen om een nieuw wachtwoord in te stellen.
- Lukt dit niet (bijvoorbeeld omdat geen herstelgegevens zijn ingesteld), ga dan door naar het domeingebaseerde herstel hieronder.
Geen tweede beheerder: Google-accountherstel
Heb je geen tweede beheerder, geen noodaccount en geen werkend zelfherstel, dan rest het domeingebaseerde herstelproces van Google. Dat is bewust streng, want het geeft toegang tot het hele domein. Je moet bewijzen dat je eigenaar van het domein bent.
Je hebt DNS-toegang nodig
Het Google-accountherstel voor beheerders verloopt via domeinverificatie. Je plaatst een specifiek record in de DNS van je domein, afhankelijk van de flow een TXT-record of een CNAME-record. Zonder toegang tot het DNS-beheer van je domein kun je dit niet voltooien.
Herstel via Google zonder tweede beheerder
- Ga naar
accounts.google.com/signin/recoveryen voer het e-mailadres van het beheerdersaccount in. - Doorloop de stappen en kies steeds Een andere methode proberen tot je bij de optie voor domeinverificatie komt.
- Plaats het opgegeven TXT- of CNAME-record in het DNS-beheer van je domein.
- Wacht tot Google het record ziet. DNS-wijzigingen kunnen tot 24 uur duren om door te komen, en de volledige verificatie loopt soms enkele dagen.
- Stel na herstel direct nieuwe factoren in en maak meteen een tweede beheerder aan.
Lukt de automatische flow niet?
Kom je er met de zelfhulp-flow niet uit, dan is er ondersteuningsondersteund herstel via de Apps Admin Toolbox. Klik in de flow op Contact opnemen met ondersteuning en lever het gevraagde bewijs van domeineigendom en eigenaarschap van de data aan. Ook dit blijft draaien om domeinverificatie; ondersteuning kan die stap niet overslaan.
Wat je nodig hebt voor het herstel
Het herstel leunt op zaken die je liefst vooraf regelt: toegang tot het DNS-beheer, de bij Google bekende domeingegevens en geduld. Zonder DNS-toegang loop je vast, want dat is de enige manier om eigendom aan te tonen.
Zonder DNS-toegang sta je machteloos
Zonder toegang tot je DNS-beheer en zonder tweede beheerder of break-glass-account is herstel zeer moeizaam en traag. Regel daarom vandaag nog een tweede supergebruiker en noteer waar je je DNS-instellingen beheert.
Voorkom dat dit opnieuw gebeurt
Na het herstel is de belangrijkste les: zorg voor redundantie. Dit zijn de maatregelen die een volgende lockout in minuten oplossen in plaats van dagen:
- Maak minstens een tweede supergebruiker aan, op een apart apparaat en met eigen factoren.
- Richt een break-glass-account in dat alleen voor noodgevallen wordt gebruikt.
- Zet Supergebruikers mogen hun account herstellen aan en laat iedere supergebruiker een herstel-telefoonnummer en herstel-e-mailadres instellen.
- Registreer per beheerder minstens twee fysieke beveiligingssleutels en bewaar er een op een veilige, aparte plek.
- Genereer en print back-upcodes voor elke supergebruiker en berg ze veilig op.
Kan Google-ondersteuning me direct weer toegang geven?
Niet zonder verificatie. Je moet domeineigendom bewijzen via een DNS-record; ondersteuning kan dat proces niet overslaan, ook niet bij ondersteuningsondersteund herstel.
Hoe lang duurt het herstel zonder tweede beheerder?
Reken op enkele dagen. DNS-wijzigingen kunnen tot 24 uur doorkomen en de verificatie loopt daarna nog door. Een tweede beheerder lost het daarentegen in minuten op.
Wat heb ik minimaal nodig voor het domeingebaseerde herstel?
Toegang tot het DNS-beheer van je domein om een TXT- of CNAME-record te plaatsen, plus de bij Google bekende domeingegevens.
Werkt zelfherstel ook als 2SV aan staat?
Zelfherstel via Wachtwoord vergeten reset je wachtwoord, maar werkt alleen als de instelling vooraf is aangezet en er een herstel-telefoonnummer of e-mailadres is geconfigureerd. Ben je ook je tweede factor kwijt, dan heb je vaak alsnog een tweede beheerder of het domeingebaseerde herstel nodig.
Hoe voorkom ik dit in de toekomst?
Maak meerdere supergebruikers aan, richt een break-glass-account in, zet supergebruiker-zelfherstel aan en gebruik fysieke beveiligingssleutels met opgeslagen back-upcodes.