Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Best practices voor super admins in Google Workspace

Een super admin in Google Workspace heeft de sleutels tot het hele koninkrijk. Leer de belangrijkste best practices: beperk het aantal super admins, dwing security keys of passkeys af, gebruik gedelegeerde rollen, en richt een herstelaccount in.

schedule6 min lezen event1 Jun 2026 updateBijgewerkt 9 uur open_in_new data_object

Een super admin in Google Workspace kan alles: gebruikers verwijderen, beveiliging uitzetten, data exporteren en andere beheerders aanstellen. Met die macht komt risico. Een gecompromitteerd super admin-account is het ergste wat je kan overkomen. In dit artikel laten we de belangrijkste best practices zien om dat te voorkomen.

Houd het aantal super admins klein

De eerste en belangrijkste regel: beperk het aantal super admins. Elke super admin is een potentieel doelwit en een potentieel risico. Hoe meer super admins, hoe groter het aanvalsoppervlak en hoe lastiger te overzien wie wat kan.

Voor de meeste organisaties zijn twee tot vier super admins genoeg. Twee is het minimum, want je wilt nooit afhankelijk zijn van een enkele persoon die ziek kan worden of kan vertrekken. Meer dan een handvol is voor de meeste organisaties onnodig en onverstandig.

warning

Geen super admin voor incidentele taken

Geef nooit super admin-rechten aan iemand die ze alleen af en toe nodig heeft. Voor specifieke taken bestaan gedelegeerde rollen die precies genoeg rechten geven. Een helpdeskmedewerker die wachtwoorden reset, heeft een wachtwoordbeheerrol nodig, geen super admin-toegang tot de hele organisatie.

Beveilig elk super admin-account maximaal

Een super admin-account verdient de sterkste beveiliging die je hebt. Tweestapsverificatie is hier geen optie maar een absolute eis, en niet met sms maar met de sterkste methode: een fysieke security key of een passkey. Sms is te kwetsbaar voor simswapping. Sinds Google ook passkeys op je telefoon ondersteunt, kun je phishing-bestendige beveiliging krijgen zonder per se een aparte hardwaresleutel.

Een super admin-account hardenen

  1. Dwing tweestapsverificatie af met security keys of passkeys, niet met sms.
  2. Geef elke super admin minstens twee methodes, bijvoorbeeld twee security keys of een security key plus een passkey, een voor dagelijks gebruik en een als reserve.
  3. Stel het geavanceerde beschermingsprogramma beschikbaar en laat super admins zich daarvoor inschrijven.
  4. Gebruik een uniek, sterk wachtwoord dat nergens anders wordt gebruikt.
  5. Stel meldingen in die je waarschuwen bij verdachte activiteit op het account.
  6. Log uit als je klaar bent en deel het account nooit met iemand anders.

Het geavanceerde beschermingsprogramma van Google is speciaal gemaakt voor accounts met een hoog risico, zoals super admins. Het dwingt security keys of passkeys af, blokkeert niet-vertrouwde apps en maakt accountherstel strenger. Als super admin zet je in de Admin-console de inschrijving open, waarna de betrokken gebruikers zichzelf aanmelden. Voor je belangrijkste accounts is dit een verstandige extra laag.

Gebruik gedelegeerde rollen voor dagelijks werk

Een veelgemaakte fout is dat een super admin de hele dag is ingelogd als super admin, ook voor gewoon werk zoals mail lezen. Dat is gevaarlijk. Als die sessie wordt gekaapt, ligt de hele organisatie open.

lightbulb

Werk met twee accounts

Gebruik twee accounts: een gewoon account voor dagelijks werk zoals mail en documenten, en een apart super admin-account dat je alleen gebruikt als je echt beheertaken doet. Zo is je super admin-account niet de hele dag actief en blootgesteld. Dit heet least privilege en is een fundament van goede beveiliging. Google raadt dit zelf expliciet aan voor super admins.

Voor taken die geen super admin vereisen, gebruik je gedelegeerde beheerdersrollen. Google heeft vooraf gedefinieerde rollen, en je kunt eigen rollen maken met precies de rechten die nodig zijn. Een paar veelgebruikte rollen:

Rol Waarvoor
Helpdeskbeheerder Wachtwoorden resetten en basisondersteuning
Gebruikersbeheerder Gebruikers aanmaken, wijzigen en verwijderen
Servicesbeheerder Specifieke diensten zoals Gmail of Drive beheren
Beveiligingsbeheerder Beveiligingsinstellingen en het geavanceerde beschermingsprogramma

Richt een herstelaccount en noodprocedure in

Wat als je enige super admin zijn security key verliest en niet meer in kan loggen? Dan zit je vast. Richt daarom een noodprocedure in.

info

Apart herstelaccount in de kluis

Maak een apart herstel-super-admin-account dat niet gekoppeld is aan een persoon en bewaar de inloggegevens veilig, bijvoorbeeld in een kluis of een goed beveiligde wachtwoordmanager waar meerdere vertrouwde personen bij kunnen. Dit account gebruik je alleen in noodgevallen. Het is je verzekering tegen buitensluiting.

Zorg ook dat je herstel-e-mailadres en herstel-telefoonnummer up-to-date zijn voor elk super admin-account, zodat Google je kan helpen bij accountherstel.

Monitor super admin-activiteit

Alles wat een super admin doet, wordt gelogd. Gebruik die logs. Stel meldingen in die je waarschuwen bij gevoelige acties, zoals het aanmaken van nieuwe beheerders of het wijzigen van beveiligingsinstellingen. Zo zie je verdacht gedrag snel, ook als het van een ogenschijnlijk legitiem account komt.

Wie doet wat

Goede super admin-hygiene is een gedeelde verantwoordelijkheid. Een korte rolverdeling:

  • Super admin: past deze best practices op zichzelf toe. Werkt met twee accounts, beveiligt het beheeraccount maximaal en is zich bewust dat dit account het belangrijkste doelwit is.
  • IT-manager: bewaakt het beleid rond super admins. Bepaalt hoeveel er zijn, wie ze zijn, en zorgt dat de noodprocedure bestaat en getest is. Controleert periodiek of de lijst nog klopt.

Veelgestelde vragen

Hoeveel super admins moet ik hebben?

Minimaal twee, zodat je nooit afhankelijk bent van een persoon, en maximaal een handvol. Voor de meeste organisaties zijn twee tot vier genoeg. Meer vergroot het risico zonder veel voordeel.

Waarom geen sms voor tweestapsverificatie?

Sms is kwetsbaar voor simswapping, waarbij een aanvaller je telefoonnummer overneemt. Voor gewone accounts is sms beter dan niets, maar voor super admins gebruik je altijd een security key of passkey.

Wat is het verschil tussen super admin en een gedelegeerde rol?

Een super admin kan alles. Een gedelegeerde rol heeft alleen de rechten die je toewijst, bijvoorbeeld alleen wachtwoorden resetten. Gebruik gedelegeerde rollen waar mogelijk om risico te beperken.

Moet ik echt twee accounts gebruiken?

Voor super admins is dat een sterke aanbeveling die Google zelf doet. Door je beheeraccount te scheiden van je dagelijkse account beperk je de blootstelling enorm. Het kost wat gewenning, maar de veiligheidswinst is groot.

Kan ik het geavanceerde beschermingsprogramma verplicht stellen?

Als admin zet je de inschrijving open in de Admin-console, maar gebruikers melden zich uiteindelijk zelf aan. Je kunt het sterk aanmoedigen en combineren met afgedwongen security keys via je tweestapsverificatie-beleid, zodat de bescherming in de praktijk hetzelfde effect heeft.

Wat doe ik als ik buitengesloten raak?

Daarvoor dient je herstel-super-admin-account en een up-to-date herstel-e-mailadres en telefoonnummer. Zonder die voorbereiding is accountherstel lastig en traag, dus richt de noodprocedure in voordat je hem nodig hebt.

Lees ook thuiswerkbeleid en tweestapsverificatie afdwingen voor de bredere beveiliging.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Adminrechten beperken en verfijnen in Google Workspace

Adminrechten beperk je met aangepaste beheerdersrollen die alleen de strikt noodzakelijke bevoegdheden bevatten, toegewezen met een beperkte OU-scope, plus een minimaal aantal superbeheerders en periodieke reviews.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Break-glass admin-account aanmaken in Google Workspace

Een break-glass admin-account is een noodaccount met supergebruikersrechten dat je alleen gebruikt als je reguliere beheerders zijn buitengesloten. Je beveiligt het met fysieke beveiligingssleutels, bewaart de gegevens offline in een kluis en monitort elk gebruik via reporting rules.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Privileged Access Management in Google Workspace

Privileged Access Management beschermt de krachtigste accounts in je omgeving: de beheerders. Leer hoe je beheerdersrechten beperkt, scheidt en monitort met aparte admin-accounts, minimale superbeheerders, fijnmazige rollen en phishing-resistente authenticatie.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Een gedelegeerde beheerder aanmaken met beperkte rechten

Een gedelegeerde beheerder is een gebruiker met een beheerdersrol die alleen de rechten geeft die hij nodig heeft. Je maakt of kiest een rol in de Admin Console onder Account > Beheerdersrollen en wijst die toe, zodat bijvoorbeeld de helpdesk wachtwoorden mag resetten zonder superbeheerder te worden.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Het Alert Center instellen en alarmen beheren in Google Workspace

Het Alert Center is het centrale meldpunt voor beveiligings- en beheerwaarschuwingen in Workspace. Schakel de juiste regels in, stuur notificaties naar het juiste team, volg alerts op en spring door naar de Security Investigation Tool. Goed ingesteld mis je geen belangrijk signaal.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward