Specifieke beheerdersrollen toewijzen

Als u een gebruiker geen volledige toegang tot de Google Beheerdersconsole wilt geven, kunt u deze gebruiker toestaan slechts een deel van de beheertaken uit te voeren. U doet dit door een beheerdersrol toe te wijzen. U kunt meer dan één beheerdersrol toewijzen aan een gebruiker.

U kunt ook een beheerdersrol toewijzen aan een groep of serviceaccount in plaats van een gebruiker. U kunt bijvoorbeeld een serviceaccountbeheerder gebruiken om groepen en groepslidmaatschappen te maken en te updaten met apps buiten de Beheerdersconsole, via de Cloud Identity Groups API.

Hoe beheerdersrollen werken

In de Beheerdersconsole kunnen beheerders alleen de gegevens zien en de taken uitvoeren die ze volgens de rechten van hun rol mogen bekijken en uitvoeren. Als u bijvoorbeeld de vooraf ingestelde rol Gebruikersbeheer aan iemand toewijst, kan deze persoon alleen specifieke gebruikersinstellingen zien en aanpassen voor gebruikers die geen beheerder zijn.

Hoe limieten voor roltoewijzingen werken

U kunt instellen dat een rol wordt toegepast op alle organisatie-eenheden. U kunt een rol maximaal 1.000 keer toewijzen, ongeacht het aantal rollen. U kunt bijvoorbeeld de ene rol aan 300 gebruikers toewijzen en de andere rol aan 700 gebruikers.

U kunt ook rollen toepassen op een hele organisatie-eenheid. U kunt een rol maximaal 1.000 keer toewijzen per organisatie-eenheid, ongeacht het aantal rollen. Als u wilt weten of u een rol kunt toepassen op organisatie-eenheden, gaat u naar de pagina met roltoewijzingen van de gebruiker en klikt u naast Alle organisatie-eenheden op Bewerken . Voorbeelden hiervan zijn de vooraf ingestelde rol Beheerder van gebruikersbeheer en een aangepaste rol met minstens één gebruikersrecht.

Als u nog steeds meer dan 1000 rollen moet toewijzen, kunt u meerdere leden toevoegen aan een groep en een rol toewijzen aan de groep. Een roltoewijzing aan een groep telt als één toewijzing, ongeacht het aantal leden.

Voordat u begint

Stap 1: Eventuele vooraf ingestelde of aangepaste rollen bekijken die al worden gebruikt

U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Account > Beheerdersrollen.
Plaats de muisaanwijzer op de rol en klik op Rechten bekijken of Beheerders bekijken om te zien aan welke beheerders de rol is toegewezen.

Stap 2: Het type rol bepalen

Bepaal of u het volgende wilt doen:

Een vooraf ingestelde systeemrol toewijzen zodat de gebruiker veelvoorkomende taken kan uitvoeren. Check de vooraf ingestelde beheerdersrollen.
Een aangepaste rol maken met verschillende toegangsniveaus en deze toewijzen. In dit geval moet u de rol eerst maken. Zie Een aangepaste rol maken.

Rollen toewijzen

Gedeelte openen | Alles samenvouwen en naar bovenkant gaan

U moet zijn ingelogd als hoofdbeheerder om deze taak te kunnen uitvoeren.

U kunt een rol tegelijk aan gebruikers en groepen toewijzen door een procedure te volgen voor het toewijzen van een rol aan meerdere gebruikers of aan een groep.

Rollen toewijzen aan één gebruiker

Als u de rol Groepenlezer of Groepseditor wilt toewijzen aan één gebruiker met rechten die zijn beperkt tot beveiligingsgroepen of niet-beveiligingsgroepen, of tot vergrendelde of ontgrendelde groepen, gaat u naar Een rol toewijzen aan meerdere gebruikers tegelijk.

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Directory > Gebruikers.
De accountpagina van de gebruiker openen: Klik op de naam van de gebruiker. U kunt ook bovenaan in het zoekvak de naam van de gebruiker invoeren en hun accountpagina openen. Ga naar Een gebruikersaccount zoeken voor meer opties.
Scroll omlaag en klik op Beheerdersrollen en -rechten.
Klik naast de vooraf ingestelde of aangepaste rol op Toegewezen .
Als Toegewezen niet wordt getoond, klikt u op een willekeurige plek onder Rollen om de schakelaars weer te geven.
(Optioneel) Als u de rol van de beheerder wilt beperken tot een specifieke organisatie-eenheid, klikt u naast Alle organisatie-eenheden op Bewerken . Selecteer de organisatie-eenheden en klik op Klaar.
Als Bewerken niet wordt getoond, kunt u de rol niet toepassen op organisatie-eenheden.
Klik op Opslaan.

Tips:

In het gedeelte Rechten ziet u alle rechten die de gebruiker heeft met alle beheerdersrollen die aan de gebruiker zijn toegewezen.
Klik rechtsboven op de pijl-omhoog om terug te gaan naar de accountpagina van de gebruiker.

Een rol toewijzen aan meerdere gebruikers tegelijk

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Account > Beheerdersrollen.
Plaats de muisaanwijzer op de rol die u wilt toewijzen en klik rechts op Beheerder toewijzen.
Tip: U kunt schakelen tussen de beheerders aan wie u de rol toewijst en de rechten. Klik bovenaan op Beheerders of Rechten.
Klik op Leden toewijzen.
(Optioneel) U kunt de beheerdersrechten van de rol Groepenlezer of Groepseditor alleen geven aan beveiligings- of niet-beveiligingsgroepen, of aan vergrendelde of ontgrendelde groepen. Zo beperkt u de rechten:
1. Klik op Voorwaarden instellen.
2. Selecteer een optie om beheerdersrechten alleen te geven aan:
  - Beveiligingsgroepen: Selecteer Label bevat 'Beveiliging'.
  - Niet-beveiligingsgroepen: Selecteer Label bevat niet 'Beveiliging'.
  - (Bèta) Vergrendelde groepen: Selecteer Label bevat 'Vergrendeld'.
  - (Bèta) Ontgrendelde groepen: Selecteer Label bevat niet 'Vergrendeld'.
3. Klik op Opslaan.
Voer de eerste paar letters van het e-mailadres van de gebruiker in (niet de gebruikersnaam) en selecteer het adres van de gebruiker in de suggesties.
U kunt aan maximaal 20 gebruikers en groepen tegelijk een rol toewijzen.
Klik op Rol toewijzen.
(Optioneel) Als u de rol van de beheerder wilt beperken tot een specifieke organisatie-eenheid, klikt u naast Alle organisatie-eenheden op Bewerken . Selecteer de organisatie-eenheden en klik op Klaar.
Als u Bewerken niet ziet, kunt u de rol niet toepassen op organisatie-eenheden.

Een rol toewijzen aan een groep

Als u rollen toewijst aan groepen, kunt u rolrechten geven aan een groot aantal gebruikers.

U beheert groepen met toegewezen rollen op dezelfde manier als andere groepen. Check Groepen voor meer informatie.

Beperkingen voor het toewijzen van groepsrollen

U kunt elke rol toewijzen, behalve die van hoofdbeheerder of resellerbeheerder.
De groep moet een beveiligingsgroep in uw organisatie zijn die geen dynamische groep is. Ga naar Toegang tot gevoelige gegevens beheren met beveiligingsgroepen voor meer informatie over beveiligingsgroepen.
Als u wilt nagaan of een groep een dynamische groep is, klikt u in de Beheerdersconsole op Groepen de groepsnaam. Ga naar Leden. Als Dynamische leden of Lidmaatschapsquery bewerken wordt weergegeven, is de groep een dynamische groep.
Als u een rol toewijst aan een groep, telt dit als één toewijzing voor de limiet voor roltoewijzingen.
U kunt in totaal maximaal 250 roltoewijzingen gebruiken voor groepen op organisatieniveau en binnen een organisatie-eenheid.
Als u een rol aan veel groepen wilt toewijzen en onder de limiet wilt blijven, kiest u één groep die de rol van bovenliggende groep moet krijgen en voegt u de andere groepen toe die de rol van lid van de bovenliggende groep moeten krijgen. Daarna wijst u een rol toe aan de bovenliggende groep. Deze toewijzing telt als één roltoewijzing, terwijl alle onderliggende groepen hun rol kunnen krijgen. Ga naar Een groep toevoegen aan een andere groep voor meer informatie.
In sommige gevallen krijgen groepsleden misschien niet alle rechten van een toegewezen rol. Als u bijvoorbeeld een groep toewijst aan een groep met het recht 'Google Meet-hardware en -agenda's beheren', krijgen groepsleden mogelijk niet alle functionaliteit voor dat recht. De leden krijgen wel andere rechten die bij de rol horen.
Als u de rol Resellerbeheerder toewijst aan een groep, krijgen groepsleden de bijbehorende rechten alleen voor de organisatie van de reseller. Ze krijgen geen rechten voor de klanten van de reseller.
We raden u aan groepslidmaatschap te beperken tot gebruikers in uw organisatie. U kunt gebruikers van buiten uw organisatie of consumentengebruikers toevoegen, maar ze krijgen dan mogelijk niet de rechten van de rol. Check Groepslidmaatschap beperken voor meer informatie.
De standaard beperkingen voor groepslidmaatschappen zijn van toepassing. Check Lidmaatschap voor meer informatie.

Een rol toewijzen

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Account > Beheerdersrollen.
Plaats de muisaanwijzer op de rol die u wilt toewijzen en klik rechts op Beheerder toewijzen.
Tip: U kunt schakelen tussen de beheerders aan wie u de rol toewijst en de rechten. Klik bovenaan op Beheerders of Rechten.
Klik op Leden toewijzen.
(Optioneel) U kunt de beheerdersrechten van de rol Groepenlezer of Groepseditor alleen geven aan beveiligings- of niet-beveiligingsgroepen, of aan vergrendelde of ontgrendelde groepen. Zo beperkt u de rechten:
1. Klik op Voorwaarden instellen.
2. Selecteer een optie om beheerdersrechten alleen te geven aan:
  - Beveiligingsgroepen: Selecteer Label bevat 'Beveiliging'.
  - Niet-beveiligingsgroepen: Selecteer Label bevat niet 'Beveiliging'.
  - (Bèta) Vergrendelde groepen: Selecteer Label bevat 'Vergrendeld'.
  - (Bèta) Ontgrendelde groepen: Selecteer Label bevat niet 'Vergrendeld'.
3. Klik op Opslaan.
Voer de eerste letters van het e-mailadres of de naam van de groep in en selecteer het adres in de opties.
U kunt aan maximaal 20 groepen en gebruikers tegelijk een rol toewijzen.
Klik op Rol toewijzen.
(Optioneel) Als u de rol van de beheerder wilt beperken tot een specifieke organisatie-eenheid, klikt u naast Alle organisatie-eenheden op Bewerken . Selecteer de organisatie-eenheden en klik op Klaar.
Als u Bewerken niet ziet, kunt u de rol niet toepassen op organisatie-eenheden.

Een rol toewijzen aan een serviceaccount

U kunt alle vooraf ingestelde of aangepaste rollen toewijzen aan een serviceaccount, behalve de rol van hoofdbeheerder. Als u een rol toewijst aan een serviceaccount, telt dit mee voor de limiet voor roltoewijzingen.

Voordat u begint: Stel in Google Cloud een serviceaccount in. Zie Creating and managing service accounts (Serviceaccounts maken en beheren).

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Account > Beheerdersrollen.
Plaats de muisaanwijzer op de rol die u wilt toewijzen Klik op Beheerder toewijzen.
Klik op Serviceaccounts toewijzen.
(Optioneel) U kunt de beheerdersrechten van de rol Groepenlezer of Groepseditor alleen geven aan beveiligings- of niet-beveiligingsgroepen, of aan vergrendelde of ontgrendelde groepen. Zo beperkt u de rechten:
1. Klik op Voorwaarden instellen.
2. Selecteer een optie om beheerdersrechten alleen te geven aan:
  - Beveiligingsgroepen: Selecteer Label bevat 'Beveiliging'.
  - Niet-beveiligingsgroepen: Selecteer Label bevat niet 'Beveiliging'.
  - (Bèta) Vergrendelde groepen: Selecteer Label bevat 'Vergrendeld'.
  - (Bèta) Ontgrendelde groepen: Selecteer Label bevat niet 'Vergrendeld'.
3. Klik op Opslaan.
Vul het e-mailadres van het serviceaccount in.
Open hetGoogle Cloud Console en klik op Menu IAM en beheerServiceaccounts om het e-mailadres te vinden.
Klik op ToevoegenRol toewijzen.

Wat gebeurt er nu?

In het controlelogboek voor beheerders ziet u wanneer een beheerdersrol is toegewezen aan een serviceaccount en welke acties er door serviceaccountbeheerders zijn uitgevoerd. Check Gebeurtenissen in het beheerderslogboek voor meer informatie.

Als u de vooraf ingestelde rol Groepsbeheerder heeft toegewezen aan een serviceaccount, kunt u de acties ook zien in het controlelogboek voor Enterprise-groepen. De serviceaccountbeheerder kan onder Beschrijving gebeurtenis of Gebruiker staan. Check Gebeurtenissen in het controlelogboek Groups Enterprise voor meer informatie.

Gerelateerd onderwerp

Authenticating as a service account without domain-wide delegation (Verifiëren als serviceaccount zonder domeinbrede machtiging)

Als u een rol heeft toegewezen, wordt de gebruiker de volgende keer dat deze inlogt naar de homepage van de Beheerdersconsole gestuurd.Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatie

Toewijzing rollen opheffen

Gedeelte openen | Alles samenvouwen en naar bovenkant gaan

U kunt de toewijzing van een rol aan uzelf niet ongedaan maken.

De rol van een gebruiker intrekken

Als u een rol van een gebruiker wilt intrekken, volgt u alle stappen hierboven in Rollen toewijzen aan één gebruiker. In plaats van de rol aan te zetten in stap 6, klikt u op Uitzetten .

Meerdere rollen of rollen van serviceaccounts intrekken

De rol van meerdere gebruikers of een serviceaccount intrekken op de pagina Beheerdersrollen.

Log in met een hoofdbeheerdersaccount op de Google Beheerdersconsole.
Als u geen hoofdbeheerdersaccount gebruikt, kunt u deze stappen niet uitvoeren.
Ga naar Menu Account > Beheerdersrollen.
Plaats de muisaanwijzer op de rol die u wilt toewijzen en klik rechts op Beheerder toewijzen.
Kies een optie:
- Vink het vakje aan naast de gebruiker of het serviceaccount.
- Als u de rol van alle gebruikers en serviceaccounts wilt intrekken, vinkt u het vakje aan naast de kolomkop Beheerder.
Klik op Rol intrekkenRol intrekken om de wijziging te bevestigen.

Volgende stappen

Beheerders kunnen herstelopties toevoegen aan hun account.

Was dit nuttig?

Hoe kunnen we dit verbeteren?