Embedded Files
In het kort
In het kort
De complexiteit neemt toe wanneer er meer samenwerking tussen teams nodig is.
Net als dit fictieve bedrijf in de afbeelding, zullen er na verloop van tijd keuzes gemaakt worden waardoor het overzicht zoek raakt.
Organisaties groter dan 15 medewerkers kunnen tegen deze praktische problemen aanlopen. Hoe deel je de toegang uit bij een grotere organisatie. Hier vind je een mogelijkheid dat ik veel gebruik.
Context van de afbeelding:
Finance wil bij de verkoopfacturen van de afdeling Verkoop, en bij de spreadsheet met inkoopcijfers op de drive van afdeling Inkoop
de directie wil de verkoopcijfers op de Verkoop drive inzien, maar ook de e-mails die gericht zijn aan verkoop@routerkampioen.nl
Verkoop wil toegang tot e-mails aan de Klantenservice, omdat klanten vaak vragen naar oplossingen die ze al verkopen.
Opbouw van een Google Workspace groep
Opbouw van een Google Workspace groep
Een Google Workspace groep ontvangt en distribueert e-mail en geeft toegang tot bestanden aan alle die lid zijn van de groep.
is een e-mail distributielijst1 (smtp en intern) naar de accounts (middels nested groeps of groepsleden)
is een security group1 door toegang te geven op resources
(drives, directories en bestanden)kan gebruikers en (“nested”) groepen bevatten
1) Hier kan geen keuze in worden gemaakt, beide zijn altijd aanwezig.
Kan dit flexibeler, en zo ja wat zijn de voor- en nadelen?
Groepsindeling
Groepsindeling
We creëren 3 typen groepen:
e-mail groep (routeert e-mail naar gebruikersgroepen)
gebruikersgroep (geel) bevat uitsluitend user accounts
drive groep (vastgestelde toegang per groep)
De gebruikersgroep is de enige groep dat gebruikers bevat. De e-mail groepen en drive groepen bevatten uitsluitend gebruikersgroepen.
De e-mail groep ontvangt e-mail en distribueert dit naar de gebruikersgroepen die hier lid van zijn.
Door de drive groepen (security groepen) verder op te delen in bijv. "lezen" (read) en "wijzigen" (change) kun je ook andere afdelingen en teams lees toegang geven.
Praktisch voorbeeld
Praktisch voorbeeld
In de afbeelding zijn de drie typen groepen logisch geordend. De gebruikersgroepen kunnen lid zijn van zowel mailgroepen als securitygroepen.
Hierboven kort geschetst kun je de drive groepen ook opdelen in 'lezen' (Read) en 'wijzigen' (Change) toegang. Daarnaast zou je assistenten en stagiairs ook de delete toegang kunnen ontzeggen met een groep, bijvoorbeeld 'Assistent' (Apprentice/Assistant).
De read-only is wanneer een afdeling wel documenten van andere teams of projecten of teams mogen inzien, maar geen onderdeel van dat team zijn en dus hierin niet mogen wijzigen (Principle of least privilege, alleen toegang om het werk te doen).
Hulp met consistente naamgeving
Hulp met consistente naamgeving
Een constitente naamgeving is essentieel. Daarvoor kun je deze spreadsheet gebruiken. Er is geen handleiding bij, gewoon uitproberen. Er zijn veel verwijzingen naar het tabblad "Config". Grote voordeel is dat je de invulvelden, bij het aanmaken van groepen, kunt kopieren / plakken vanuit deze sheet.
Toegangsinstellingen
Toegangsinstellingen
Naast de groepspermissies zijn er op elke groep de groepsinstelling. Hieronder de voorgestelde instellingen per type groep. De audit label maakt het leven eenvoudiger en biedt transparantie. Ieder account in de tenant kan zien wie lid is van een groep. Zodra auditing belangrijk wordt, is IT niet nodig om bij deze controle te begeleiden.
Wat zijn de voor- en nadelen?
Wat zijn de voor- en nadelen?
Nadelen:
Het levert meer groepen op: (1x e-mail, 1x user, 2x drive)
Naamgeving moet duidelijk en consequent zijn
Voordelen:
Toegang instellen door gericht op functie of rol groepen te creëren en permissies toe te kennen (denk aan bestuur).
Vrijwilligers onboarden geeft zo direct toegang tot benodigde drives en e-mail groepen. “First time right”.
Transparant wie welke drive toegang heeft voor managers van de groep en hierdoor voor auditors (volgende slides).
Een spreadsheet zorgt voor consequente naamgeving en een procedure met de stappen die, grotendeels met copy/paste, genomen moeten worden.
Page updated
Report abuse