nobody-k
Goto Top

Server Mieten Schule Anforderung für das RZ

Hallo zusammen,

Ich werde meine Schulen, mit einem DC ausstatten .
Hierzu möchte ich mir Server Mieten, oder direkt bei mir in der Verwaltung an meine DC Struktur mi anbinden.
Jetzt stellen sich mir 2 fragen.

Mein Dienstleister würde mir VMs bereitstellen , das ist aber kein zertifiziertes RZ .
Kann ich hier Probleme bekommen . Zweck Votum 22
Die 2 Lösung bei mir in der Verwaltung ein Forest einrichten und dann eben eine weitere Domäne hinzufügen. Bekomme ich da evtl. Probleme mit der Übertragung .aber die Datenmenge müsste meines Wissens ja sehr gering sein.

Vielen Dank

Content-Key: 5356639939

Url: https://administrator.de/contentid/5356639939

Printed on: February 2, 2023 at 19:02 o'clock

Member: unbelanglos
unbelanglos Jan 14, 2023 at 12:34:07 (UTC)
Goto Top
Welche Standards musst du anwenden?

Ein DC kann auch ordentlich Traffic verursachen.
Member: nobody-k
nobody-k Jan 14, 2023 at 12:41:24 (UTC)
Goto Top
Mir geht es darum, die Lehrer mit AD Zugänge auszustatten,
Alle PCs Lehrer / Schüler PCs in eine Domäne aufzunehmen. Die Schulen wäre. Mit Site to Site VPN verbunden.
Da es bei Grundschulen sehr extrem ist mit dem Datenschutz etc.
Weis ich nicht ob Server mieten bei meinem IT Dienstleister , Datenschutz konform ist.
Leider finde ich zu diesem Thema nichts.
Bei der 2 Lösung wäre ja nur der anmelde Traffic mehr sollte da nicht laufen .
Member: unbelanglos
unbelanglos Jan 14, 2023 at 12:59:14 (UTC)
Goto Top
Welche regulatorischen und organisatorischen Standards.
Das ist zur Beantwortung deiner Frage notwendig zu wissen.
Member: Gentooist
Gentooist Jan 14, 2023 at 13:16:05 (UTC)
Goto Top
Und welche Daten sollen darauf gespeichert werden? Schule bedeutet häufig haufenweise Daten, die dem Datenschutz unterliegen.

Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.
Member: SeaStorm
SeaStorm Jan 14, 2023 at 13:21:33 (UTC)
Goto Top
Was bezweckst du mit dem "AD Zugang" ? Geht es nur um die Zentrale Benutzerverwaltung?
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.
Member: manuel-r
manuel-r Jan 14, 2023 at 14:12:20 (UTC)
Goto Top
Vielleicht bin ich da etwas old school, aber ich bin immer noch der Meinung ein DC (mit GC) gehört an den Standort den er bedienen soll. Nicht in irgendein RZ irgendwo auf der Welt. Weil ansonsten sehr schnell einiges nicht funktioniert wenn die Verbindung zum RZ flöten geht.
  • Adressbuch für MFP-Scanner. Fehlanzeige.
  • Radius fürs WLAN. Fehlanzeige.
  • Benutzeranmeldung an Clients ohne gecachte Anmeldung. Fehlanzeige
  • ...

Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?

Manuel
Member: Dani
Dani Jan 14, 2023 at 23:28:57 (UTC)
Goto Top
Moin,
Die 2 Lösung bei mir in der Verwaltung ein Forest einrichten und dann eben eine weitere Domäne hinzufügen. Bekomme ich da evtl. Probleme mit der Übertragung .aber die Datenmenge müsste meines Wissens ja sehr gering sein.
da spielt schon das Bundesland eine Rolle. Denn da gibt es verschiedene Rahmenbedingungen und sogar teilweise Vorschriften, an die sich die Schulen bzw. Schulträger halten müssen. Je nach dem darfst nicht mal einfach so eine Domäne aufbauen.

Kann ich hier Probleme bekommen . Zweck Votum 22
Jein, der Beratungskreis hat erstmal keine Macht. Es kann natürlich durch aus ein, dass ein Bundesland, Schulamt oder Schulträger darauf verweisen oder sogar als Grundlage sehen. Das kann dir entweder der Schulträger oder sogar das Schulamt sagen.


Gruß,
Dani
Member: nobody-k
nobody-k Jan 15, 2023 at 07:50:20 (UTC)
Goto Top
Hallo, im Endeffekt möchte ich nur die benutzeranmeldung darüber realisieren.

Wenn ich auch GPOs machen möchte wäre der Traffic ja auch nicht so extrem.
Es handelt sich hier um höchstens 50 Benutzer .
Danke für die Antwort
Member: nobody-k
nobody-k Jan 15, 2023 at 07:53:14 (UTC)
Goto Top
Zitat von @Gentooist:

Und welche Daten sollen darauf gespeichert werden? Schule bedeutet häufig haufenweise Daten, die dem Datenschutz unterliegen.

Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.

Es geht rein nur um Benutzerverwaltung, alle anderen Daten, werde. Vor Ort gespeichert (NAS)
Member: nobody-k
nobody-k Jan 15, 2023 at 07:55:00 (UTC)
Goto Top
Zitat von @SeaStorm:

Was bezweckst du mit dem "AD Zugang" ? Geht es nur um die Zentrale Benutzerverwaltung?
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.

Es geht nur um Benutzerverwaltung,
Damit ich dies zentral lösen kann.
Jetzt ist alles mit lokalen Konten geregelt .
Das möchte ich eben weghaben.
Member: nobody-k
nobody-k Jan 15, 2023 at 07:57:18 (UTC)
Goto Top
Zitat von @manuel-r:

Vielleicht bin ich da etwas old school, aber ich bin immer noch der Meinung ein DC (mit GC) gehört an den Standort den er bedienen soll. Nicht in irgendein RZ irgendwo auf der Welt. Weil ansonsten sehr schnell einiges nicht funktioniert wenn die Verbindung zum RZ flöten geht.
  • Adressbuch für MFP-Scanner. Fehlanzeige.
  • Radius fürs WLAN. Fehlanzeige.
  • Benutzeranmeldung an Clients ohne gecachte Anmeldung. Fehlanzeige
  • ...

Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?

Manuel

Ich habe leider in der Schule nicht die Möglichkeit.
Deswegen meine Frage, einen DC direkt bei mir imRZ oder bei meinem Dienstleister mieten, da hab ich aber Zweifel wegen nicht zertifiziert zwecks Datenschutz und iso .
Member: MacLeod
MacLeod Jan 15, 2023 at 15:52:49 (UTC)
Goto Top
Hallo
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Member: aqui
aqui Jan 15, 2023 updated at 16:04:36 (UTC)
Goto Top
Lesenswert dazu:
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...
Das Gymnasium bewegt sich rechtlich auf sehr dünnem Eis...
Member: MacLeod
MacLeod Jan 15, 2023 at 16:13:35 (UTC)
Goto Top
So wie ich das am Rande mitverfolgen durfte dauerte der gesamte Prozess nun 3 Jahre und wird auch an weiteren Schulen in BY mittlerweile identisch gehandhabt. Die Probleme sind bekannt, dort sitzen ja keine Anfänger, aber die Entscheidung ist einfach alternativlos. So deren Begründung.
Member: nobody-k
nobody-k Jan 15, 2023 at 18:13:09 (UTC)
Goto Top
Zitat von @MacLeod:

Hallo
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Wir haben auch überall O365 . Aber das möchte ich ablösen, wir sind auch in bayern, un sind eine Grundschule . DSGVO technisch ist das sehr fragwürdig
Member: nobody-k
nobody-k Jan 15, 2023 at 18:15:00 (UTC)
Goto Top
Zitat von @MacLeod:

So wie ich das am Rande mitverfolgen durfte dauerte der gesamte Prozess nun 3 Jahre und wird auch an weiteren Schulen in BY mittlerweile identisch gehandhabt. Die Probleme sind bekannt, dort sitzen ja keine Anfänger, aber die Entscheidung ist einfach alternativlos. So deren Begründung.

Wenn du bei der Grundschule das Votum 2022 nimmst ist O365 schon sehr Grenzwertig. Wie es im Gym ist weis ich nicht
Member: departure69
departure69 Jan 16, 2023 updated at 07:59:35 (UTC)
Goto Top
@nobody-k:

Hallo.

Bundesland Bayern?

Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).

Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).

Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).

Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.

Viele Grüße

von

departure69
Member: Snowman25
Snowman25 Jan 16, 2023 at 13:16:00 (UTC)
Goto Top
Zitat von @nobody-k:

Zitat von @manuel-r:

Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.

Ich habe leider in der Schule nicht die Möglichkeit.
Deswegen meine Frage, einen DC direkt bei mir imRZ oder bei meinem Dienstleister mieten, da hab ich aber Zweifel wegen nicht zertifiziert zwecks Datenschutz und iso .

Das glaube ich dir nicht, dass du nicht im Lehrerzimmer oder woanders einen kleinen alten PC hinstellen könntest, der als DC fungiert. Der muss ja auch nicht leistungsstark sein. So ein DC langweilt sich die meiste Zeit sowieso und kann extrem ressourcenarm aufgebaut werden.
Zettel dran: "Bitte nicht abstecken" und gut ist.
Der Ausfallsicherheit nimmst du noch einen 2. alten PC und machst da einen 2. DC drauf.
Member: nobody-k
nobody-k Jan 20, 2023 at 18:16:48 (UTC)
Goto Top
Natürlich kann ich einen kleinen Server irgendwo hinstellen,
Nur ist das nach meinem befinden nicht gut,
Da für mich ein Server so platziert werden muss, das er vor unbefugte Geschütz ist.
Member: nobody-k
nobody-k Jan 20, 2023 at 18:22:32 (UTC)
Goto Top
Zitat von @departure69:

@nobody-k:

Hallo.

Bundesland Bayern?

Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).

Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).

Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).

Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.

Viele Grüße

von

departure69
Hi
Laut dem Votum 22 kann ich Schüler Trakt und Lehrer Trakt per vlan trennen. Und natürlich kann ich ein AD nur für die Anmeldung nutzen.
Alle anderen schöne Dinge wie Sicherheitsgruppen GPO etc. Kann ich doch steuern was ich davon nutzen werde.
Laut meines Wissen darf ich einen Forest machen, da ja keine Vertrauensstellung besteht.
Von einer workgroup will ich eben weg, viel zu viel Verwaltung .