31
Bitlocker an Schulen
Guten Tag,
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7594587598
Url: https://administrator.de/contentid/7594587598
Printed on: April 27, 2024 at 22:04 o'clock
31 Comments
Latest comment
Es gibt keine Möglichkeit, den BitLocker-Wiederherstellungsschlüssel zu umgehen, wenn Sie ein BitLocker-verschlüsseltes Laufwerk ohne Passwort entsperren möchten. Sie können das Laufwerk jedoch neu formatieren, um die Verschlüsselung zu entfernen, wofür kein Passwort oder Wiederherstellungsschlüssel erforderlich ist.
Quelle: https://iboysoft.com/de/bitlocker/bitlocker-ohne-passwort-und-wiederhers ....
1
Zitat von @Kraemer:
Quelle: https://iboysoft.com/de/bitlocker/bitlocker-ohne-passwort-und-wiederhers ....
Es gibt keine Möglichkeit, den BitLocker-Wiederherstellungsschlüssel zu umgehen, wenn Sie ein BitLocker-verschlüsseltes Laufwerk ohne Passwort entsperren möchten. Sie können das Laufwerk jedoch neu formatieren, um die Verschlüsselung zu entfernen, wofür kein Passwort oder Wiederherstellungsschlüssel erforderlich ist.
Quelle: https://iboysoft.com/de/bitlocker/bitlocker-ohne-passwort-und-wiederhers ....
Es geht nicht darum, das wir kein Passwort haben, ganz im Gegenteil, es geht viel mehr darum, dass wir das Betriebssystemlaufwerk verschlüsseln wollen. Sobald das Laufwerk verschlüsselt ist, gibt es 2 optionen die beim booten eintreffen können. Entweder es wird ein Pin/Usb-Stick gefordert oder die festplatte entschlüsselt sich durch TPM selbst.
Die Frage ist ob, es möglich ist, sich als Schüler einer Domäne anzumelden und kein Zugriff auf das Laufwerk, wo windows installiert ist zu haben.
Wir möchten halt das die Schüler kein Zugriff auf das Laufwerk haben, wo windows installiert ist, um korruption zu umgehen.
Moin,
das muss man einmal sortieren: Du kannst mit Bitlocker und TPM Chip die C Partition verschlüsseln, sodass da beim Booten niemand dran rumspielen kann.
Soweit so gut.
Dass deine Schüler hinterher nach dem Windows Logon im Windowsverzeichnis Dinge tun oder eben nicht, kannst du über NTFS Rechte, Gruppenrichtlinien etc. anpassen. Das darf ein User aber normalerweise eh nicht.
Man kann zB die C Partition für diesen Nutzerkreis einfach ausblenden.
VG
das muss man einmal sortieren: Du kannst mit Bitlocker und TPM Chip die C Partition verschlüsseln, sodass da beim Booten niemand dran rumspielen kann.
Soweit so gut.
Dass deine Schüler hinterher nach dem Windows Logon im Windowsverzeichnis Dinge tun oder eben nicht, kannst du über NTFS Rechte, Gruppenrichtlinien etc. anpassen. Das darf ein User aber normalerweise eh nicht.
Man kann zB die C Partition für diesen Nutzerkreis einfach ausblenden.
VG
1
Hi,
wie die Kollegen bereits mitgeteilt haben, hilft dir Bitlocker bei deinem Vorhaben nicht.
Bitlocker schützt dich davor, dass jemand den Datenträger aus dem Computer ausbaut und die Daten ohne weiteres auslesen kann.
Dein Vorhaben muss mit ACLs etc. angegangen werden,.
wie die Kollegen bereits mitgeteilt haben, hilft dir Bitlocker bei deinem Vorhaben nicht.
Bitlocker schützt dich davor, dass jemand den Datenträger aus dem Computer ausbaut und die Daten ohne weiteres auslesen kann.
Dein Vorhaben muss mit ACLs etc. angegangen werden,.
1
Moin @Burning,
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
Guten Tag,
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
1Zitat von @MysticFoxDE:
Moin @Burning,
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
Moin @Burning,
Guten Tag,
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
Das pädagogische Netz war damit nicht gemeint, ich arbeite an einer IT-Schule wo schüler auch an den Rechnern arbeiten dürfen. Nur gibt es ab und an sonderlinge, welche sich gerne mal daneben benehmen.
Aber danke für den Hinweis
Zitat von @Burning:
Das pädagogische Netz war damit nicht gemeint, ich arbeite an einer IT-Schule wo schüler auch an den Rechnern arbeiten dürfen. Nur gibt es ab und an sonderlinge, welche sich gerne mal daneben benehmen.
Aber danke für den Hinweis
Zitat von @MysticFoxDE:
Moin @Burning,
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
Moin @Burning,
Guten Tag,
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
ich arbeite in einer Berufsschule im IT-Service-Team.
Wir haben uns nun folgendes Konzept für die anstehenden Ferien überlegt: Bitlocker an allen Schulcomputer um die Windows Betriebssystem dateien vor fremden zugriff abzusichern. Jetzt ist das Problem, nach langer Recherche, das sich die Festplatte zwar verschlüsseln lässt, aber verschiedene Startoptionen dennoch aktiv sind, so ist beispielsweise die Option aktiv, das sich die Festplatte entschlüsselt beim booten oder man beim booten um ein USB-Stick gebeten wird.
Besteht die Möglichkeit, mithilfe von Bitlocker und TPM (Trusted Platform Module) die Festplatte so zu verschlüsseln, dass keine Abfrage beim booten kommt und man keinen Zugriff auf die Platte hat, außer man kennt das Passwort dafür. Die schüler haben alle ein Netzlaufwerk.
meinst du etwa die Rechner die in eurem pädagogischen Netz sind?
Wenn ja, dann ist das was ihr da machen möchtet, aus meiner Sicht komplett "overdressed", weil ihr in einem pädagogischen Netz und oder Rechner die sich in einem solchen befinden, eh absolut keine sensiblen Daten ablegen dürft!
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Beste Grüsse aus BaWü
Alex
Das pädagogische Netz war damit nicht gemeint, ich arbeite an einer IT-Schule wo schüler auch an den Rechnern arbeiten dürfen. Nur gibt es ab und an sonderlinge, welche sich gerne mal daneben benehmen.
Aber danke für den Hinweis
Ich würde meinen ihr braucht zuerst mal getrennte Netze für Schüler-PC und Lehrkörper-PC. Zusätzlich könntet ihr MFA einführen. Das ginge z.B. mit einem FIDO-Hardware-Token, App oder sonst was in der Richtung. So wäre es schon mal fast zwecklos, dass sich jemand das PW merkt.
1
Ich werfe mal noch Kiosk-Mode und Reborn-Card in den Ring.
Jürgen
Jürgen
1
Mit einem TPM-Protektor entschlüsselt sich die Platte nicht beim Booten. Die Daten bleiben verschlüsselt, wenn auch dem OS (und Nutzern, die sich anmelden können) zugänglich.
Wenn Du einen Bereich nicht automatisch aufschließen möchtest, muss das eine andere Partition als die Systempartition sein. Da kannst Du dann ein Kennwort, einen USB-basierten Schlüssel, ein Zertifikat oder den Recoverykey nutzen (und NICHT den TPM), damit nur autorisierte Leute rankommen.
Wenn Du einen Bereich nicht automatisch aufschließen möchtest, muss das eine andere Partition als die Systempartition sein. Da kannst Du dann ein Kennwort, einen USB-basierten Schlüssel, ein Zertifikat oder den Recoverykey nutzen (und NICHT den TPM), damit nur autorisierte Leute rankommen.
@mayho33
@MysticFoxDE
@Burning
Hingegen im Bereich der Verwaltung führt kein Weg daran vorbei. Gerade in Hinblick, dass die Rechner meistens am Kommunalen Verwaltungsnetzes des Landes angeschlossen sind. Werden hier sehr restriktive Policies gefahren.
Gruß,
Dani
Ich würde meinen ihr braucht zuerst mal getrennte Netze für Schüler-PC und Lehrkörper-PC
Das hängt davon ab, was die Lehrer an den genannten PCs tun.@MysticFoxDE
Siehe aktuellen Netzbrief für das entsprechende Bundesland und oder befragt den zuständigen Datenschutzbeauftragten. π
Seit der Reform in BaWü ist der Netzbrief nicht das Papierwert auf dem er steht. Dieser spielt keine Rolle mehr. Die Richtlinien der Trennung zwischen Verwaltung der Schule und Unterricht erfolgt über Komm.ONE und den ergänzten Vorgaben der jeweiligen Träger/Kommune.@Burning
Das pädagogische Netz war damit nicht gemeint, ich arbeite an einer IT-Schule wo schüler auch an den Rechnern arbeiten dürfen. Nur gibt es ab und an sonderlinge, welche sich gerne mal daneben benehmen.
Je nach Bundesland und Kommune gibt es hier klare Richtlinien. Im PaedNetzwerk würde ich den Aufwand nicht antun. Meistens kommen im PaedNetzwerk entsprechende Muster Lösungen zum Einsatz. Da wäre der Aufwand mit Bitlocker einfach verschwendete Zeit, Geld und Nerven.Hingegen im Bereich der Verwaltung führt kein Weg daran vorbei. Gerade in Hinblick, dass die Rechner meistens am Kommunalen Verwaltungsnetzes des Landes angeschlossen sind. Werden hier sehr restriktive Policies gefahren.
Gruß,
Dani
Da bin ich anderer Meinung. Egal was der Lehrer am PC macht, ein Schüler hat da nichts zu suchen und je weniger Angriffsfläche umso besser. Und Schulungsdaten können über ein gesondertes Share geteilt werden; Für die einen schreibend usw., für die anderen ausschließlich lesend.
Moin @Dani,
wie kommst du auf diese Idee?
Laut den folgenden Infos ...
https://lehrerfortbildung-bw.de/st_digital/netz/it-infrastruktur/fb1/
... gilt noch alles genau so wie es war.
Komm.ONE und Richtlinien erlassen, der ist echt gut. ππ€£ππ€£
Nein, die Komm.ONE kann höchstens Empfehlungen aussprechen, welchen man zum Glück nicht wirklich folgen muss. π
Gruss Alex
Seit der Reform in BaWü ist der Netzbrief nicht das Papierwert auf dem er steht. Dieser spielt keine Rolle mehr.
wie kommst du auf diese Idee?
Laut den folgenden Infos ...
https://lehrerfortbildung-bw.de/st_digital/netz/it-infrastruktur/fb1/
... gilt noch alles genau so wie es war.
Die Richtlinien der Trennung zwischen Verwaltung der Schule und Unterricht erfolgt über Komm.ONE und den ergänzten Vorgaben der jeweiligen Träger/Kommune.
Komm.ONE und Richtlinien erlassen, der ist echt gut. ππ€£ππ€£
Nein, die Komm.ONE kann höchstens Empfehlungen aussprechen, welchen man zum Glück nicht wirklich folgen muss. π
Gruss Alex
Guten Morgen
So ganz verstehe ich Dich nicht. Gut mir fehlt der Kaffee π
Wie soll ein Betriebssystem ohne Zugriff funktionieren? Der Zugriff auf C:\Programme ..... muß auch gegeben sein, wie soll denn sonst ein Programm starten?
Wird zuwenig sein π Wo liegt der Profilordner?
Tut's nicht. Die Daten werden entschlüsselt, die Platte bleibt verschlüsselt.
Haben die Schüler einen personalisierten Zugang oder alle denselben? Domäne? GPOs und verteilen.
Ein "Gastkonto" ist auch eine Variante.
So ganz verstehe ich Dich nicht. Gut mir fehlt der Kaffee π
Zitat von @Burning:
Wir möchten halt das die Schüler kein Zugriff auf das Laufwerk haben, wo windows installiert ist, um korruption zu umgehen.
Wir möchten halt das die Schüler kein Zugriff auf das Laufwerk haben, wo windows installiert ist, um korruption zu umgehen.
Wie soll ein Betriebssystem ohne Zugriff funktionieren? Der Zugriff auf C:\Programme ..... muß auch gegeben sein, wie soll denn sonst ein Programm starten?
Wird zuwenig sein π Wo liegt der Profilordner?
Tut's nicht. Die Daten werden entschlüsselt, die Platte bleibt verschlüsselt.
Haben die Schüler einen personalisierten Zugang oder alle denselben? Domäne? GPOs und verteilen.
Ein "Gastkonto" ist auch eine Variante.
Vielleicht sollte der TO mal sein Ziel mitteilen.
Wenn es darum geht, die Schüler-PCs nach Unterrichtsende wieder auf Original-Zustand zurück zu setzen, sind Reborn-Karten eine Lösung.
Wenn gar keine Änderung zulässig sind, wäre Kiosk-Mode denkbar (zB. reine Surfstation)
Jürgen
Wenn es darum geht, die Schüler-PCs nach Unterrichtsende wieder auf Original-Zustand zurück zu setzen, sind Reborn-Karten eine Lösung.
Wenn gar keine Änderung zulässig sind, wäre Kiosk-Mode denkbar (zB. reine Surfstation)
Jürgen
@mayho33
@MysticFoxDE
Den Städten war es vor der Reform überlassen, ob Sie das KVN BW nutzen wollen. Aber mit der Reform haben sie eigentlich in 95% der Fälle keinen andere Option mehr für die Schulverwaltung.
Gruß,
Dani
Da bin ich anderer Meinung. Egal was der Lehrer am PC macht, ein Schüler hat da nichts zu suchen und je weniger Angriffsfläche umso besser. Und Schulungsdaten können über ein gesondertes Share geteilt werden; Für die einen schreibend usw., für die anderen ausschließlich lesend.
Im paed. Netzwerk macht das keinen Sinn. Weil dort sind eigentlich für Lehrer und Schüler alle PCs identisch eingerichtet. Lokal können in der Regel sowieso keine Daten abgelegt werden, weil diese nach der Abmeldung gelöscht werden. Somit liegen diese automatisch auf den Netzlaufwerken der Schüler und Lehrer. Geht es um Verwaltungsaufgaben der Schule (z.B. Zeugnisse) so darf dies in den meisten Bundesländern nur an Rechner in einem gesicherten Netzwerk des Landes eingegeben werden. An solche Endgeräte kommt ein Schüler gar nicht ran.@MysticFoxDE
wie kommst du auf diese Idee?
Ganz einfach, weil die Land BW die Zuständigkeit in der bzw. am Ende der Pandemie reformiert hat. Inzwischen liegt die Zuständigkeit nicht beim Kultus bzw. BelWü sondern bei den Trägerschaften, in der Regel den Kommunen und Landkreisen.Laut den folgenden Infos ...
https://lehrerfortbildung-bw.de/st_digital/netz/it-infrastruktur/fb1/
... gilt noch alles genau so wie es war.
Sehe ich am Datum, dass die Seite nicht mehr zeitnah aktualisiert wurde. Letztes Jahr um die Zeit wurde das Kiss von der BelWü abgeschaltet.https://lehrerfortbildung-bw.de/st_digital/netz/it-infrastruktur/fb1/
... gilt noch alles genau so wie es war.
Komm.ONE und Richtlinien erlassen, der ist echt gut. ππ€£ππ€£
Nein, die Komm.ONE kann höchstens Empfehlungen aussprechen, welchen man zum Glück nicht wirklich folgen muss. π
Die Komm.ONE ist Betreiber des KVN BW und gegenüber BITBW und Land BW Rechenschaft schuldig. Sprich die Kunden (Gemeinden, Städte, Landkreise) haben sich an die Vorhaben zu halten, wenn sie dieses Netz nutzen wollen. Damit verbunden wird über das selbe Netz auch das bisherige KISS an den Schulen abgebildet.Nein, die Komm.ONE kann höchstens Empfehlungen aussprechen, welchen man zum Glück nicht wirklich folgen muss. π
Den Städten war es vor der Reform überlassen, ob Sie das KVN BW nutzen wollen. Aber mit der Reform haben sie eigentlich in 95% der Fälle keinen andere Option mehr für die Schulverwaltung.
Gruß,
Dani
Alles klar, hab genug Informationen erhalten, danke für die hilfreichen Beiträge!
Du kannst auch Windows per PXE-Boot bereitstellen oder Windows aaS nutzen. Erspart ein paar Kopfschmerzen.
Hab mal ein paar Jahre Schul-IT gemacht. Zuerst hatten wir schulweit Debian im Einsatz, für die die zwingend Windows brauchten, gab's das als Terminalserver oder Spezialfälle hatten eine VM.
Haben dann in 2018 Debian mit ChromeOS ersetzt, Terminalserver und VMs beibehalten (wurde aber kaum genutzt), die alten Laptops sind in die Informatikklassen gewandert und haben wieder Debian bekommen.
Gruss
S
Hab mal ein paar Jahre Schul-IT gemacht. Zuerst hatten wir schulweit Debian im Einsatz, für die die zwingend Windows brauchten, gab's das als Terminalserver oder Spezialfälle hatten eine VM.
Haben dann in 2018 Debian mit ChromeOS ersetzt, Terminalserver und VMs beibehalten (wurde aber kaum genutzt), die alten Laptops sind in die Informatikklassen gewandert und haben wieder Debian bekommen.
Gruss
S
Ich freu mich schon, wenn meine Kinder in die Schule kommen und es dort keine Profi-Admins gibt ...
Zitat von @bauinformatiker:
Ich freu mich schon, wenn meine Kinder in die Schule kommen und es dort keine Profi-Admins gibt ...
Ich freu mich schon, wenn meine Kinder in die Schule kommen und es dort keine Profi-Admins gibt ...
Finde den Kommentar nicht ganz fair. Immerhin ist das Einsatzgebiet riesengroß, es gibt für jeden von unzähligen Use-Cases dutzende Produkte die alle das gleiche tun, nur unterschiedlich und die einen besser, die anderen schlechter. Manche sind Insellösungen, andere wieder in Suiten versteckt. Dann kommt es sehr auf die Umgebung an welche Produkte eingesetzt werden können.
Zudem kann sich ein Admin nicht in jedem Gebiet auskennen.
Ganz ehrlich? Lieber ein Admin der fragt, als ein Admin der meint er hat die Weisheit mit der Mutterbrust bekommen.
Zitat von @mayho33:
Zudem kann sich ein Admin nicht in jedem Gebiet auskennen.
Ganz ehrlich? Lieber ein Admin der fragt, als ein Admin der meint er hat die Weisheit mit der Mutterbrust bekommen.
Zudem kann sich ein Admin nicht in jedem Gebiet auskennen.
Ganz ehrlich? Lieber ein Admin der fragt, als ein Admin der meint er hat die Weisheit mit der Mutterbrust bekommen.
Korrekt, darum gibt es bei uns so "Adminteams". Aber rein prinzipiell hast Du recht.
Auch wenn das hier schon hinreichend beantwortet wurde - an meiner Schule hatten wir damals MySHN, was später zu LogoDidact umbenannt wurde. Das war quasi das rundum-sorglos Paket für die Schul-IT. Die Rechner haben alle morgens via PXE den MySHN Bootloader gestartet, welcher wiederum die HDD mit einem vorgefertigten Image versorgte. Alle lokalen Changes werden damit wieder nichtig gemacht, auch etwaige Zerstörungsversuche experimentierfreudiger Schüler. Wichtige Daten oder Profil-Ordner von Webbrowsern wurden in die Roaming-Verzeichnisse auf dem Server gespeichert und bei Anmeldung eingebunden. Für 2011er Verhältnisse war das damals gar nicht so schlecht gelöst. LogoDidact konnte darüber hinaus noch Softwareverteilung und die Fernsteuerung aller Rechner.
Später auf der BBS gab's dann HDGUARD. Im Prinzip will man erreichen, dass die Rechnerinstallationen "disposable" sind und spätestens nach einem Neustart wieder alles läuft.
Später auf der BBS gab's dann HDGUARD. Im Prinzip will man erreichen, dass die Rechnerinstallationen "disposable" sind und spätestens nach einem Neustart wieder alles läuft.
1
Moin @Dani,
π― ... bitte was ... π
Nee, das ist jetzt hoffentlich nicht dein Ernst.
Gibt es dazu was schriftliches?
Wenn das stimmt, dann sind beim Kultusministerium in BaWü definitiv alle Schrauben locker, zumindest was das Thema Digitalisierung an den Schulen angeht. π
Anstelle zentral ein anständiges Konzept zu entwickeln, gibt man die Verantwortung lieber einfach an die Kommunen weiter. π
Ich kenne die Komm.ONE und weis was diese treibt und was diese vor allem auch nicht anständig macht.
An dieser Stelle sage ich nur ASA + Squid. π¬
Meinst du mit dem KISS ASV-BW?
Wenn ja, was hat die Komm.ONE damit nun zu tuen?
An allen Schulen die ich kennen, laufen die ASV-BW Installationen lokal. π
Wie schon oben geschrieben, kenne ich bisher keine Schule, bei der ASV-BW nicht lokal installiert ist, daher verstehe ich jetzt nicht ganz, was das mit dem KVN BW zu tuen haben sollte.
Das Einzige was mir jetzt in Verbindung mit ASV-BW und KVN einfällt, ist die Übergabe einiger Daten von dem lokalen ASV-BW der jeweiligen Schule zu Kultusministerium BW.
Beste Grüsse aus Murrhardt
Alex
Ganz einfach, weil die Land BW die Zuständigkeit in der bzw. am Ende der Pandemie reformiert hat. Inzwischen liegt die Zuständigkeit nicht beim Kultus bzw. BelWü sondern bei den Trägerschaften, in der Regel den Kommunen und Landkreisen.
π― ... bitte was ... π
Nee, das ist jetzt hoffentlich nicht dein Ernst.
Gibt es dazu was schriftliches?
Wenn das stimmt, dann sind beim Kultusministerium in BaWü definitiv alle Schrauben locker, zumindest was das Thema Digitalisierung an den Schulen angeht. π
Anstelle zentral ein anständiges Konzept zu entwickeln, gibt man die Verantwortung lieber einfach an die Kommunen weiter. π
Die Komm.ONE ist Betreiber des KVN BW und gegenüber BITBW und Land BW Rechenschaft schuldig. Sprich die Kunden (Gemeinden, Städte, Landkreise) haben sich an die Vorhaben zu halten, wenn sie dieses Netz nutzen wollen.
Ich kenne die Komm.ONE und weis was diese treibt und was diese vor allem auch nicht anständig macht.
An dieser Stelle sage ich nur ASA + Squid. π¬
Damit verbunden wird über das selbe Netz auch das bisherige KISS an den Schulen abgebildet.
Meinst du mit dem KISS ASV-BW?
Wenn ja, was hat die Komm.ONE damit nun zu tuen?
An allen Schulen die ich kennen, laufen die ASV-BW Installationen lokal. π
Den Städten war es vor der Reform überlassen, ob Sie das KVN BW nutzen wollen. Aber mit der Reform haben sie eigentlich in 95% der Fälle keinen andere Option mehr für die Schulverwaltung.
Wie schon oben geschrieben, kenne ich bisher keine Schule, bei der ASV-BW nicht lokal installiert ist, daher verstehe ich jetzt nicht ganz, was das mit dem KVN BW zu tuen haben sollte.
Das Einzige was mir jetzt in Verbindung mit ASV-BW und KVN einfällt, ist die Übergabe einiger Daten von dem lokalen ASV-BW der jeweiligen Schule zu Kultusministerium BW.
Beste Grüsse aus Murrhardt
Alex
Moin,
Gruß,
Dani
Nee, das ist jetzt hoffentlich nicht dein Ernst.
ich bin hier eigentlich für meinen fehlenden Humor bekannt...Gibt es dazu was schriftliches?
natürlich. Hier im Forum gab es zwei Threads dazu und natürlich auch in den anderen Foren, wo es auch um Musterlösungen geht. Zum anderen gibt es seitens den Ministerien MWK und KM eine gemeinsame Stellungnahme sowie 2-3 Infoschreiben an die Kommunen.Wenn das stimmt, dann sind beim Kultusministerium in BaWü definitiv alle Schrauben locker, zumindest was das Thema Digitalisierung an den Schulen angeht. π
Ja und Nein. Auslöser ist eigentlich eine Untersuchung des Rechnungshofes BW beim MWK im Bereich Belwü. Das KM sieht sich da nicht in der Pflicht, da die Unterhaltung der Gebäude, Schulen, etc. schon immer Aufgabe der Träger ist, sprich größtenteils Kommunen und Landkreise. Ist eben eine Kostenfrage...An allen Schulen die ich kennen, laufen die ASV-BW Installationen lokal. π
Es kommt die Pflicht, dass mit ASV-BW die Zeugnisse, Statistiken, Lehrkörper, etc. geschrieben werden sollen und wohl absehbar auch müssen. D.h. eine Anbindung an die zentralen Server bei der BITBW, im Auftrag des KM sind ausschließlich im SVN BW erreichbar. D.h. entweder über BelWü (LWL Anbindung) oder eben Komm.ONE.Das Einzige was mir jetzt in Verbindung mit ASV-BW und KVN einfällt, ist die Übergabe einiger Daten von dem lokalen ASV-BW der jeweiligen Schule zu Kultusministerium BW.
So ist es. Und damit auch natürlich der Rückweg. Die Abhängigkeit wird in naher Zukunft noch weiter entwickelt.Gruß,
Dani
Moin @Dani,
Interessant, ich habe gerade nachgefragt, aber die Admin der Kommunen die wir in BaWü betreuen, haben davon bisher überhaupt nichts mitbekommen. π¬
π ... endlich reagiert auch mal dar Rechnungshof.
Und ja, ich kenne die absolut haarsträubende Geschichte um BelWü und bin an der Untersuchung des Rechnungshofes, wahrscheinlich auch nicht ganz unschuldig. π
Ja klar, anstelle zentral eine Einheitliche Lösung für alle Schulen in BaWü im Hinblick auf ASV-BW, Mail, Internetauftritt & Co zu entwickeln, die auch unserer Zeit, sprich dem Jahr 2023 entspricht,
überlässt man diese Aufgabe lieber dezentral jeder Kommune für sich, deren IT zum Teil noch auf Stand der Steinzeittechnik ist und oder, die überhaupt nicht über die ausreichenden Ressourcen oder Kompetenzen verfügt.
Das hat absolut nichts mit Sinn und Wirtschaftlichkeit zu tuen, sondern ist genau das Gegenteil davon. π
Ja, OK, dass die Schnittstellen über die Komm.ONE oder BelWü laufen, weis ich.
Ich dachte schon, die Komm.ONE möchte nun auch das ASV-BW für alle Schulen in BaWü hosten. π
Die Sachen wie ASV-BW, Mail & Co gehört meiner Ansicht nach zentral zu BelWü und schon haben tausende Schulen im Land einen Haufen Stress weniger und uns Steuerzahler kostet das ganze auch noch mindestens einen !!! zwei bis dreistelligen !!! Millionenbetrag pro Jahr weniger. π
Beste Grüsse aus BaWü
Alex
Gibt es dazu was schriftliches?
natürlich. Hier im Forum gab es zwei Threads dazu und natürlich auch in den anderen Foren, wo es auch um Musterlösungen geht. Zum anderen gibt es seitens den Ministerien MWK und KM eine gemeinsame Stellungnahme sowie 2-3 Infoschreiben an die Kommunen.Interessant, ich habe gerade nachgefragt, aber die Admin der Kommunen die wir in BaWü betreuen, haben davon bisher überhaupt nichts mitbekommen. π¬
Ja und Nein. Auslöser ist eigentlich eine Untersuchung des Rechnungshofes BW beim MWK im Bereich Belwü.
π ... endlich reagiert auch mal dar Rechnungshof.
Und ja, ich kenne die absolut haarsträubende Geschichte um BelWü und bin an der Untersuchung des Rechnungshofes, wahrscheinlich auch nicht ganz unschuldig. π
Das KM sieht sich da nicht in der Pflicht, da die Unterhaltung der Gebäude, Schulen, etc. schon immer Aufgabe der Träger ist, sprich größtenteils Kommunen und Landkreise. Ist eben eine Kostenfrage...
Ja klar, anstelle zentral eine Einheitliche Lösung für alle Schulen in BaWü im Hinblick auf ASV-BW, Mail, Internetauftritt & Co zu entwickeln, die auch unserer Zeit, sprich dem Jahr 2023 entspricht,
überlässt man diese Aufgabe lieber dezentral jeder Kommune für sich, deren IT zum Teil noch auf Stand der Steinzeittechnik ist und oder, die überhaupt nicht über die ausreichenden Ressourcen oder Kompetenzen verfügt.
Das hat absolut nichts mit Sinn und Wirtschaftlichkeit zu tuen, sondern ist genau das Gegenteil davon. π
Es kommt die Pflicht, dass mit ASV-BW die Zeugnisse, Statistiken, Lehrkörper, etc. geschrieben werden sollen und wohl absehbar auch müssen. D.h. eine Anbindung an die zentralen Server bei der BITBW, im Auftrag des KM sind ausschließlich im SVN BW erreichbar. D.h. entweder über BelWü (LWL Anbindung) oder eben Komm.ONE.
Ja, OK, dass die Schnittstellen über die Komm.ONE oder BelWü laufen, weis ich.
Ich dachte schon, die Komm.ONE möchte nun auch das ASV-BW für alle Schulen in BaWü hosten. π
So ist es. Und damit auch natürlich der Rückweg. Die Abhängigkeit wird in naher Zukunft noch weiter entwickelt.
Die Sachen wie ASV-BW, Mail & Co gehört meiner Ansicht nach zentral zu BelWü und schon haben tausende Schulen im Land einen Haufen Stress weniger und uns Steuerzahler kostet das ganze auch noch mindestens einen !!! zwei bis dreistelligen !!! Millionenbetrag pro Jahr weniger. π
Beste Grüsse aus BaWü
Alex
Der Kommentar war auch nicht als persönliche Kritik zu verstehen. In keiner Firma sollte ein einzelner Admin für "alles" verantwortlich sein müssen. Ich seh es tagtäglich, was man alles können müsste. Im Prinzip ist der Auftraggeber / Arbeitgeber schuld wenn er jemanden beauftragt, der diese Verantwortung gar nicht tragen kann. Die Zeiten sind halt vorbei wo man einen "IT-affinen" Mitarbeiter zur Betreuung der IT verdonnert. IT ist inzwischen nicht umsonst ein Ausbildungsberuf und man lässt sich auch nicht von einem gerade ausgelernten Azubi ein Haus bauen.
Zitat von @Franz-Josef-II:
Korrekt, darum gibt es bei uns so "Adminteams". Aber rein prinzipiell hast Du recht.
Zitat von @mayho33:
Zudem kann sich ein Admin nicht in jedem Gebiet auskennen.
Ganz ehrlich? Lieber ein Admin der fragt, als ein Admin der meint er hat die Weisheit mit der Mutterbrust bekommen.
Zudem kann sich ein Admin nicht in jedem Gebiet auskennen.
Ganz ehrlich? Lieber ein Admin der fragt, als ein Admin der meint er hat die Weisheit mit der Mutterbrust bekommen.
Korrekt, darum gibt es bei uns so "Adminteams". Aber rein prinzipiell hast Du recht.
Und selbst ein solches Kernteam hat Spezialisten und Allrounder, oder?
Zumindest kenne ich das so und unsere IT hat 100te Mitarbeiter und verwaltet ~8000 Clients in 14 Ländern.
Wie gesagt, kommt es auf die Umgebung an. Das Arbeitsumfeld inbegriffen.
Manche Firmen leisten sich für ein Kerngebiet eben nur 1 Spezialisten und im Optimalfall überschneiden sich die Kompetenzen aller Mitarbeiter. Manche sind das Mädchen für alles und wieder andere haben genau 1 Aufgabengebiet das sie selten verlassen.
1Zitat von @bauinformatiker:
Der Kommentar war auch nicht als persönliche Kritik zu verstehen. In keiner Firma sollte ein einzelner Admin für "alles" verantwortlich sein müssen. Ich seh es tagtäglich, was man alles können müsste. Im Prinzip ist der Auftraggeber / Arbeitgeber schuld wenn er jemanden beauftragt, der diese Verantwortung gar nicht tragen kann. Die Zeiten sind halt vorbei wo man einen "IT-affinen" Mitarbeiter zur Betreuung der IT verdonnert. IT ist inzwischen nicht umsonst ein Ausbildungsberuf und man lässt sich auch nicht von einem gerade ausgelernten Azubi ein Haus bauen.
Der Kommentar war auch nicht als persönliche Kritik zu verstehen. In keiner Firma sollte ein einzelner Admin für "alles" verantwortlich sein müssen. Ich seh es tagtäglich, was man alles können müsste. Im Prinzip ist der Auftraggeber / Arbeitgeber schuld wenn er jemanden beauftragt, der diese Verantwortung gar nicht tragen kann. Die Zeiten sind halt vorbei wo man einen "IT-affinen" Mitarbeiter zur Betreuung der IT verdonnert. IT ist inzwischen nicht umsonst ein Ausbildungsberuf und man lässt sich auch nicht von einem gerade ausgelernten Azubi ein Haus bauen.
Nur weil jemand die Ausbildung zur IT-Fachkraft gemacht hat, befähigt das noch lange nicht sich z.B. in Security auszukennen, Intune oder anderen Spezialgebieten wo ein breites Wissensspektrum notwendig ist.
Eine Ausbildung ist ein Rucksack voller fachspezifischem, aber allgemeinem Knowhow und einer Anleitung wie man es richtig einsetzt. Die Praxis und es in verschiedenen Use-Cases anzuwenden, kommt er später. Außer die Person ist hervorragend, ein so genannter High Potential.
1
Moin @bauinformatiker,
das ist reines Wunschdenken, denn insbesondere die Kleinen Betriebe, können sich wenn überhaupt,
dann meistens nur einen Vollzeitadmin leisten. Und selbst wenn diese jetzt einen weiteren ITler einstellen möchten,
werden sie diesen wahrscheinlich nicht so schnell bekommen, weil der Markt was IT-Fachkräfte und vor allem Allround-Admins angeht, komplett leergefegt ist. Wenn du jemanden heute haben möchtest, vor allem mit Erfahrung, dann muss du denjenigen in 99% woanders abwerben. π
Sprich, auch wenn die Schulen/Kommunen kurzfristig ihre ITler-Kapazitäten aufstocken wöllten, würde das aufgrund der Marktlage (Fachkräftemangel) nicht funktionieren. Daher ist meiner Ansicht nach eine zentrale Lösung für viele IT-Belange der Schulen, vor allem bei Softwarelösungen, der bessere Weg, weil dieser schlichtweg ressourcenschonnender, sicherer und für uns Steuerzahler auch noch viel günstiger ist.
Ja und auch nein. Die meisten Arbeitgeber sind schlichtweg nicht in der Lage die Kompetenzen eines ITler korrekt einzuschätzen, weil diese IT-technisch, meistens selbst so gut wie keine Kompetenzen haben und nur das Auftretten des Bewerbers aber nicht seine wahren Fähigkeiten bewerten können.
Um als ITler ausgebildet zu werden benötigst du in den meisten Fällen auch einen Ausbildungsbetrieb und genau hier liegt meiner Ansicht nach das grösste Problem. Die Betriebe, Behörden & Co. haben zwar in den letzten 20 Jahren einen ITler nach dem anderen verschlissen, jedoch so gut wie keiner von diesen, hat neue Nachkömmlinge selbst ausgebildet. π
Und die guten alten IT-Hasen, gehen mittlerweile einer nach dem anderen in die wohlverdiente Rente. π
Beste Grüsse aus BaWü
Alex
In keiner Firma sollte ein einzelner Admin für "alles" verantwortlich sein müssen.
das ist reines Wunschdenken, denn insbesondere die Kleinen Betriebe, können sich wenn überhaupt,
dann meistens nur einen Vollzeitadmin leisten. Und selbst wenn diese jetzt einen weiteren ITler einstellen möchten,
werden sie diesen wahrscheinlich nicht so schnell bekommen, weil der Markt was IT-Fachkräfte und vor allem Allround-Admins angeht, komplett leergefegt ist. Wenn du jemanden heute haben möchtest, vor allem mit Erfahrung, dann muss du denjenigen in 99% woanders abwerben. π
Sprich, auch wenn die Schulen/Kommunen kurzfristig ihre ITler-Kapazitäten aufstocken wöllten, würde das aufgrund der Marktlage (Fachkräftemangel) nicht funktionieren. Daher ist meiner Ansicht nach eine zentrale Lösung für viele IT-Belange der Schulen, vor allem bei Softwarelösungen, der bessere Weg, weil dieser schlichtweg ressourcenschonnender, sicherer und für uns Steuerzahler auch noch viel günstiger ist.
Ich seh es tagtäglich, was man alles können müsste. Im Prinzip ist der Auftraggeber / Arbeitgeber schuld wenn er jemanden beauftragt, der diese Verantwortung gar nicht tragen kann.
Ja und auch nein. Die meisten Arbeitgeber sind schlichtweg nicht in der Lage die Kompetenzen eines ITler korrekt einzuschätzen, weil diese IT-technisch, meistens selbst so gut wie keine Kompetenzen haben und nur das Auftretten des Bewerbers aber nicht seine wahren Fähigkeiten bewerten können.
Die Zeiten sind halt vorbei wo man einen "IT-affinen" Mitarbeiter zur Betreuung der IT verdonnert. IT ist inzwischen nicht umsonst ein Ausbildungsberuf und man lässt sich auch nicht von einem gerade ausgelernten Azubi ein Haus bauen.
Um als ITler ausgebildet zu werden benötigst du in den meisten Fällen auch einen Ausbildungsbetrieb und genau hier liegt meiner Ansicht nach das grösste Problem. Die Betriebe, Behörden & Co. haben zwar in den letzten 20 Jahren einen ITler nach dem anderen verschlissen, jedoch so gut wie keiner von diesen, hat neue Nachkömmlinge selbst ausgebildet. π
Und die guten alten IT-Hasen, gehen mittlerweile einer nach dem anderen in die wohlverdiente Rente. π
Beste Grüsse aus BaWü
Alex
Dieses Vorgehen ist vielleicht aus historischen Gründen in der IT noch usus. Wenn ich aber z.B. Handwerker wie z.B. Elektriker denke, da wird niemand jemand intern damit beauftragen mal ein neues Stromkabel zu verlegen.
Es liegt vielleicht auch daran, dass bei Handwerkern sofort klar ist, dass man da Fachleute oder Fachfirmen braucht. Das muss auch in der IT selbstverständlich sein oder zumindest werden!
Es liegt vielleicht auch daran, dass bei Handwerkern sofort klar ist, dass man da Fachleute oder Fachfirmen braucht. Das muss auch in der IT selbstverständlich sein oder zumindest werden!
Da stimme ich dir zu. Nur haben M$ und Consorten alles dafür getan, dass sich jeder Mausschubser für einen Administrator hält.
Hauptsache verkaufen und Dividende machen.
Und bei den von dir genannten Elektrikern passiert jetzt das gleiche. Ich denke nur an die "Balkonkraftwerke". Aldi suggeriert doch auch, einfach in die Steckdose damit (und die Grünen tröten in das gleiche Horn, Pass ja so schön in ihre Welt der Unwissenheit).
Die Hersteller sind fein raus: in der Anleitung steht immer "Konsultieren sie eine Elektrofachkraft "
Aber ich schweife ab.
Jürgen
Hauptsache verkaufen und Dividende machen.
Und bei den von dir genannten Elektrikern passiert jetzt das gleiche. Ich denke nur an die "Balkonkraftwerke". Aldi suggeriert doch auch, einfach in die Steckdose damit (und die Grünen tröten in das gleiche Horn, Pass ja so schön in ihre Welt der Unwissenheit).
Die Hersteller sind fein raus: in der Anleitung steht immer "Konsultieren sie eine Elektrofachkraft "
Aber ich schweife ab.
Jürgen