Bestimmte Administratorrollen zuweisen

Wenn Sie einem Nutzer keinen uneingeschränkten Zugriff auf die Admin-Konsole gewähren möchten, können Sie ihm erlauben, nur einen Teil der Administrationsaufgaben auszuführen. Weisen Sie ihm dazu eine Administratorrolle zu. Sie können einem Nutzer auch mehrere Administratorrollen zuweisen.

Sie können eine Administratorrolle anstelle eines Nutzers auch einer Gruppe oder einem Dienstkonto zuweisen. Mit einem solchen Dienstkontoadministrator lassen sich beispielsweise mithilfe der Cloud Identity Groups API Gruppen und Gruppenmitgliedschaften mit Anwendungen außerhalb der Admin-Konsole erstellen und aktualisieren. 

Funktionsweise von Administratorrollen

In der Admin-Konsole können Administratoren nur die Informationen ansehen und nur die Aufgaben ausführen, die in den Berechtigungen ihrer Rolle vorgesehen sind. Wenn Sie jemandem z. B. die vordefinierte Rolle „Administrator für die Nutzerverwaltung“ zuweisen, kann die Person nur bestimmte Nutzereinstellungen für Personen aufrufen und ändern, die keine Administratoren sind.

Funktionsweise von Rollenzuweisungslimits

Sie können eine beliebige Rolle für alle Organisationseinheiten festlegen. Für diese Rollen können Sie insgesamt bis zu 1.000 Zuweisungen vornehmen, unabhängig von der Anzahl der Rollen. Sie können beispielsweise eine Rolle 300 Nutzern und eine andere Rolle 700 Nutzern zuweisen.

Sie können stattdessen einige Rollen auf Organisationseinheiten anwenden. Bei diesen Rollen können Sie für jede Organisationseinheit insgesamt bis zu 1.000 Zuweisungen vornehmen, unabhängig von der Anzahl der Rollen. Wenn Sie prüfen möchten, ob Sie eine Rolle auf Organisationseinheiten anwenden können, rufen Sie die Seite „Rollenzuweisung“ des Nutzers auf und suchen Sie neben „Alle Organisationseinheiten“ nach „Bearbeiten“ . Beispiele hierfür sind die vordefinierte Rolle „Administrator für die Nutzerverwaltung“ oder eine benutzerdefinierte Rolle mit mindestens einer Nutzerberechtigung. 

Wenn Sie mehr als 1.000 Rollen zuweisen möchten, können Sie einer Gruppe mehrere Mitglieder hinzufügen und der Gruppe eine Rolle zuweisen. Eine Rollenzuweisung für eine Gruppe gilt unabhängig von der Anzahl der Mitglieder als einzelne Zuweisung.

Hinweis

Schritt 1: Vordefinierte oder benutzerdefinierte Rollen prüfen, die bereits verwendet werden

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Konto und dannAdministratorrollen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Bewegen Sie den Mauszeiger auf die Rolle und klicken Sie dann auf Berechtigungen anzeigen oder Administratoren anzeigen, um die Administratoren zu sehen, die der Rolle zugewiesen sind.

Schritt 2: Rollentyp festlegen

Sie haben die folgenden Optionen:

Rollen zuweisen

Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

Sie können Nutzern und Gruppen gleichzeitig eine Rolle zuweisen. Gehen Sie dazu entweder wie hier beschrieben vor, um mehreren Nutzern oder einer Gruppe eine Rolle zuzuweisen.

Einem Nutzer Rollen zuweisen

Wenn Sie einem Nutzer die Berechtigungen der Rollen „Leser“ oder „Bearbeiter“ nur für Sicherheits- oder Nicht-Sicherheitsgruppen oder für gesperrte oder entsperrte Gruppen zuweisen möchten, lesen Sie den Abschnitt Mehreren Nutzern gleichzeitig eine Rolle zuweisen.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Verzeichnis und dann „Nutzer“.

    Hierfür ist die entsprechende Berechtigung zur Nutzerverwaltung erforderlich. Andernfalls sehen Sie möglicherweise nicht alle Steuerelemente, die für diese Schritte nötig sind.

  2. Kontoseite des Nutzers öffnen: Klicken Sie auf den Namen des Nutzers. Alternativ können Sie oben in das Suchfeld den Namen des Nutzers eingeben und die zugehörige Kontoseite öffnen. Weitere Optionen finden Sie im Hilfeartikel Nutzerkonten finden
  3. Scrollen Sie nach unten und klicken Sie auf Administratorrollen und ‑berechtigungen.
  4. Klicken Sie neben der vordefinierten oder benutzerdefinierten Rolle auf „Zugewiesen“  .

    Wenn Sie „Zugewiesen“  nicht sehen, klicken Sie auf eine beliebige Stelle unter „Rollen“, um die Schieberegler einzublenden.

  5. Optional: Wenn Sie die Rolle des Administrators auf eine bestimmte Organisationseinheit beschränken möchten, klicken Sie neben Alle Organisationseinheiten auf „Bearbeiten“  , wählen Sie die Organisationseinheiten aus und klicken Sie auf Fertig.

    Wenn „Bearbeiten“  nicht angezeigt wird, können Sie die Rolle nicht auf Organisationseinheiten anwenden.

  6. Klicken Sie auf Speichern.

Tipps:

  • Im Abschnitt Berechtigungen werden die Berechtigungen aller Administratorrollen angezeigt, die dem Nutzer zugewiesen sind.
  • Um zur Kontoseite des Nutzers zurückzukehren, klicken Sie rechts oben auf den Aufwärtspfeil  .

Mehreren Nutzern gleichzeitig eine Rolle zuweisen

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Konto und dannAdministratorrollen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie rechts auf Administrator zuweisen.

    Tipp:Sie können zwischen Administratoren, die Sie der Rolle zuweisen, und den Berechtigungen wechseln. Klicken Sie oben auf Administratoren oder Berechtigungen.

  3. Klicken Sie auf Mitglieder zuweisen.
  4. Optional: Bei der Rolle „Leser“ oder „Bearbeiter“ können Sie die Administratorberechtigungen auch nur für Sicherheitsgruppen oder Gruppen, die keine Sicherheitsgruppen sind, oder nur für gesperrte oder entsperrte Gruppen zuweisen. So schränken Sie die Berechtigungen ein:
    1. Klicken Sie auf Bedingungen festlegen.
    2. Wählen Sie eine Option aus, um die Administratorberechtigungen nur für folgende Gruppen zu gewähren:
      • Sicherheitsgruppen: Wählen Sie Label enthält „Sicherheit“ aus.
      • Nicht-Sicherheitsgruppen: Wählen Sie Label enthält nicht „Sicherheit“ aus.
      • Entsperrte Gruppen: Wählen Sie Label enthält nicht „Gesperrt“ aus.
    3. Klicken Sie auf Speichern.
  5. Geben Sie die ersten Buchstaben der E‑Mail-Adresse des Nutzers (nicht des Nutzernamens) ein und wählen Sie aus den Optionen die Adresse des Nutzers aus.

    Sie können bis zu 20 Personen und Gruppen gleichzeitig eine Rolle zuweisen.

  6. Klicken Sie auf Rolle zuweisen.
  7. Optional: Wenn Sie die Rolle des Administrators auf eine bestimmte Organisationseinheit beschränken möchten, klicken Sie neben Alle Organisationseinheiten auf „Bearbeiten“  , wählen Sie die Organisationseinheiten aus und klicken Sie auf Fertig.

    Wenn „Bearbeiten“  nicht angezeigt wird, können Sie die Rolle nicht auf Organisationseinheiten anwenden.

Einer Gruppe eine Rolle zuweisen

Durch das Zuweisen von Rollen zu Gruppen können Sie einer großen Anzahl von Nutzern Rollenberechtigungen erteilen.

Gruppen mit zugewiesenen Rollen werden genauso verwaltet wie alle anderen Gruppen. Weitere Informationen finden Sie unter Gruppen.

Einschränkungen bei der Zuweisung von Gruppenrollen

  • Sie können jede Rolle außer „Super Admin“ oder „Reseller-Administrator“ zuweisen.
  • Die Gruppe muss eine Sicherheitsgruppe in Ihrer Organisation sein, die nicht gleichzeitig eine dynamische Gruppe ist. Weitere Informationen zu Sicherheitsgruppen finden Sie im Hilfeartikel Zugriff auf sensible Daten mit Sicherheitsgruppen steuern.
     Wenn Sie wissen möchten, ob eine Gruppe eine dynamische Gruppe ist, klicken Sie in der Admin-Konsole auf Gruppen und dannden Gruppennamen. Gehen Sie zu Mitglieder. Wenn Sie Dynamische Mitglieder oder Mitgliedschaftsabfrage bearbeiten sehen, ist es eine dynamische Gruppe.
  • Wenn Sie einer Gruppe eine Rolle zuweisen, wird dies als eine Zuweisung für Ihr Rollenzuweisungslimit gezählt.
  • Sie können Gruppen insgesamt auf Organisationsebene und innerhalb der einzelnen Organisationseinheiten bis zu 250 Rollenzuweisungen zuweisen.
  • Wenn Sie eine Rolle mehreren Gruppen zuweisen möchten, ohne die Beschränkung zu überschreiten, wählen Sie eine der Gruppen, die die Rolle benötigen, als übergeordnete Gruppe aus. Fügen Sie dann die anderen Gruppen, die die Rolle benötigen, als Mitglieder der übergeordneten Gruppe hinzu. Weisen Sie dann der übergeordneten Gruppe eine Rolle zu. Diese Zuweisung zählt als eine einzelne Rollenzuweisung, während allen untergeordneten Gruppen die Rolle gewährt wird. Weitere Informationen finden Sie im Hilfeartikel Einer Gruppe eine andere Gruppe hinzufügen.
  • Wenn Sie einer Gruppe eine Rolle mit der Berechtigung Kalender verwalten zuweisen, erhalten Gruppenmitglieder nicht alle Funktionen, die mit dieser Berechtigung verknüpft sind.
  • Wenn Sie einer Gruppe die Rolle „Reseller-Administrator“ zuweisen, erhalten die Gruppenmitglieder die Berechtigungen der Rolle nur innerhalb der Organisation des Resellers. Sie erhalten keine Berechtigungen für die Kunden des Resellers.
  • Wir empfehlen, die Gruppenmitgliedschaft auf Nutzer in Ihrer Organisation zu beschränken. Sie können Nutzer außerhalb Ihrer Organisation oder Privatnutzer hinzufügen, diese erhalten jedoch möglicherweise nicht die Rollenberechtigungen. Weitere Informationen finden Sie unter Gruppenmitgliedschaft einschränken.
  • Es gelten die standardmäßigen Beschränkungen für Gruppenmitgliedschaften. Weitere Informationen zu Mitgliedschaften

Eine Rolle zuweisen

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Konto und dannAdministratorrollen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und klicken Sie rechts auf Administrator zuweisen.

    Tipp:Sie können zwischen Administratoren, die Sie der Rolle zuweisen, und den Berechtigungen wechseln. Klicken Sie oben auf Administratoren oder Berechtigungen.

  3. Klicken Sie auf Mitglieder zuweisen.
  4. Optional: Bei der Rolle „Leser“ oder „Bearbeiter“ können Sie die Administratorberechtigungen auch nur für Sicherheitsgruppen oder Gruppen, die keine Sicherheitsgruppen sind, oder nur für gesperrte oder entsperrte Gruppen zuweisen. So schränken Sie die Berechtigungen ein:
    1. Klicken Sie auf Bedingungen festlegen.
    2. Wählen Sie eine Option aus, um die Administratorberechtigungen nur für folgende Gruppen zu gewähren:
      • Sicherheitsgruppen: Wählen Sie Label enthält „Sicherheit“ aus.
      • Nicht-Sicherheitsgruppen: Wählen Sie Label enthält nicht „Sicherheit“ aus.
      • Entsperrte Gruppen: Wählen Sie Label enthält nicht „Gesperrt“ aus.
    3. Klicken Sie auf Speichern.
  5. Geben Sie die ersten Buchstaben der E-Mail-Adresse oder des Namens der Gruppe ein und wählen Sie die Adresse aus den Optionen aus.

    Sie können eine Rolle bis zu 20 Gruppen und Nutzern gleichzeitig zuweisen.

  6. Klicken Sie auf Rolle zuweisen.
  7. Optional: Wenn Sie die Rolle des Administrators auf eine bestimmte Organisationseinheit beschränken möchten, klicken Sie neben Alle Organisationseinheiten auf „Bearbeiten“  , wählen Sie die Organisationseinheiten aus und klicken Sie auf Fertig.

    Wenn „Bearbeiten“  nicht angezeigt wird, können Sie die Rolle nicht auf Organisationseinheiten anwenden.

Dienstkonto eine Rolle zuweisen

Sie können einem Dienstkonto jede vordefinierte oder benutzerdefinierte Rolle außer Super Admin zuweisen. Die Zuweisung einer Rolle zu einem Dienstkonto wird auf Ihr Limit für die Rollenzuweisung angerechnet.

Hinweis: Richten Sie erst ein Dienstkonto in Google Cloud ein. Rufen Sie Dienstkonten erstellen und verwalten auf.

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Konto und dannAdministratorrollen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Bewegen Sie den Mauszeiger auf die Rolle, die Sie zuweisen möchten, und dann klicken Sie auf Administrator zuweisen.
  3. Klicken Sie auf Dienstkonten zuweisen.
  4. Optional: Bei der Rolle „Leser“ oder „Bearbeiter“ können Sie die Administratorberechtigungen auch nur für Sicherheitsgruppen oder Gruppen, die keine Sicherheitsgruppen sind, oder nur für gesperrte oder entsperrte Gruppen zuweisen. So schränken Sie die Berechtigungen ein:
    1. Klicken Sie auf Bedingungen festlegen.
    2. Wählen Sie eine Option aus, um die Administratorberechtigungen nur für folgende Gruppen zu gewähren:
      • Sicherheitsgruppen: Wählen Sie Label enthält „Sicherheit“ aus.
      • Nicht-Sicherheitsgruppen: Wählen Sie Label enthält nicht „Sicherheit“ aus.
      • Entsperrte Gruppen: Wählen Sie Label enthält nicht „Gesperrt“ aus.
    3. Klicken Sie auf Speichern.
  5. Geben Sie die E‑Mail-Adresse des Dienstkontos ein.

    Öffnen Sie zum Öffnen der E-Mail-Adresse die Google Cloud Console und klicken Sie auf das Menü  und dannIAM & Verwaltung und dannDienstkonten.

  6. Klicken Sie auf Hinzufügen und dannRolle zuweisen

Wie geht es weiter? 

Im Audit-Log für Administratoren können Sie sehen, wann einem Dienstkonto eine Administratorrolle zugewiesen wurde und welche Aktionen von Dienstkontoadministratoren durchgeführt wurden. Weitere Informationen finden Sie im Hilfeartikel Administrator-Protokollereignisse

Wenn Sie einem Dienstkonto die vordefinierte Rolle „Gruppenadministrator“ zugewiesen haben, können Sie auch Aktionen im Audit-Log für Unternehmensgruppen sehen. Der Dienstkontoadministrator kann unter Ereignisbeschreibung oder Nutzer aufgeführt sein. Weitere Informationen zu Group Enterprise-Protokollereignissen

Weitere Informationen

Nachdem Sie eine Rolle zugewiesen haben, wird dem Nutzer bei der nächsten Anmeldung die Startseite der Admin-Konsole angezeigt.  Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen

Zuweisung von Rollen aufheben

Sie können die Zuweisung einer Rolle nicht selbst aufheben.

Rollenzuweisung von Nutzern aufheben

Wenn Sie die Zuweisung einer Rolle zu einem Nutzer aufheben möchten, folgen Sie der Anleitung oben unter Einem Nutzer Rollen zuweisen. Klicken Sie in Schritt 6 anstatt die Rolle zu aktivieren auf „Deaktivieren“ .

Zuweisung mehrerer Rollen oder Dienstkontorollen aufheben

Heben Sie auf der Seite „Admin-Rollen“ die Zuweisung einer Rolle für mehrere Nutzer oder ein Dienstkonto auf.

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  und dann Konto und dannAdministratorrollen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Bewegen Sie den Mauszeiger auf die Rolle, deren Zuweisung Sie aufheben möchten, und klicken Sie rechts auf Administrator zuweisen.
  3. Wählen Sie eine Option aus:
    • Klicken Sie jeweils auf das Kästchen neben dem Nutzer- oder Dienstkonto, für das Sie die Rolle zuweisen möchten.
    • Wenn Sie die Zuweisung der Rolle für alle Nutzer und Dienstkonten aufheben möchten, klicken Sie auf das Kästchen neben der Spaltenüberschrift Administrator.
  4. Klicken Sie zur Bestätigung auf Rollenzuweisung aufheben und dannRollenzuweisung aufheben.

Nächste Schritte

Administratoren können Wiederherstellungsoptionen zu ihrem Konto hinzufügen.