20
Server Mieten Schule Anforderung für das RZ
Hallo zusammen,
Ich werde meine Schulen, mit einem DC ausstatten .
Hierzu möchte ich mir Server Mieten, oder direkt bei mir in der Verwaltung an meine DC Struktur mi anbinden.
Jetzt stellen sich mir 2 fragen.
Mein Dienstleister würde mir VMs bereitstellen , das ist aber kein zertifiziertes RZ .
Kann ich hier Probleme bekommen . Zweck Votum 22
Die 2 Lösung bei mir in der Verwaltung ein Forest einrichten und dann eben eine weitere Domäne hinzufügen. Bekomme ich da evtl. Probleme mit der Übertragung .aber die Datenmenge müsste meines Wissens ja sehr gering sein.
Vielen Dank
Ich werde meine Schulen, mit einem DC ausstatten .
Hierzu möchte ich mir Server Mieten, oder direkt bei mir in der Verwaltung an meine DC Struktur mi anbinden.
Jetzt stellen sich mir 2 fragen.
Mein Dienstleister würde mir VMs bereitstellen , das ist aber kein zertifiziertes RZ .
Kann ich hier Probleme bekommen . Zweck Votum 22
Die 2 Lösung bei mir in der Verwaltung ein Forest einrichten und dann eben eine weitere Domäne hinzufügen. Bekomme ich da evtl. Probleme mit der Übertragung .aber die Datenmenge müsste meines Wissens ja sehr gering sein.
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5356639939
Url: https://administrator.de/contentid/5356639939
Printed on: April 25, 2024 at 03:04 o'clock
20 Comments
Latest comment
Welche Standards musst du anwenden?
Ein DC kann auch ordentlich Traffic verursachen.
Ein DC kann auch ordentlich Traffic verursachen.
Mir geht es darum, die Lehrer mit AD Zugänge auszustatten,
Alle PCs Lehrer / Schüler PCs in eine Domäne aufzunehmen. Die Schulen wäre. Mit Site to Site VPN verbunden.
Da es bei Grundschulen sehr extrem ist mit dem Datenschutz etc.
Weis ich nicht ob Server mieten bei meinem IT Dienstleister , Datenschutz konform ist.
Leider finde ich zu diesem Thema nichts.
Bei der 2 Lösung wäre ja nur der anmelde Traffic mehr sollte da nicht laufen .
Alle PCs Lehrer / Schüler PCs in eine Domäne aufzunehmen. Die Schulen wäre. Mit Site to Site VPN verbunden.
Da es bei Grundschulen sehr extrem ist mit dem Datenschutz etc.
Weis ich nicht ob Server mieten bei meinem IT Dienstleister , Datenschutz konform ist.
Leider finde ich zu diesem Thema nichts.
Bei der 2 Lösung wäre ja nur der anmelde Traffic mehr sollte da nicht laufen .
Welche regulatorischen und organisatorischen Standards.
Das ist zur Beantwortung deiner Frage notwendig zu wissen.
Das ist zur Beantwortung deiner Frage notwendig zu wissen.
Und welche Daten sollen darauf gespeichert werden? Schule bedeutet häufig haufenweise Daten, die dem Datenschutz unterliegen.
Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.
Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.
Was bezweckst du mit dem "AD Zugang" ? Geht es nur um die Zentrale Benutzerverwaltung?
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.
Vielleicht bin ich da etwas old school, aber ich bin immer noch der Meinung ein DC (mit GC) gehört an den Standort den er bedienen soll. Nicht in irgendein RZ irgendwo auf der Welt. Weil ansonsten sehr schnell einiges nicht funktioniert wenn die Verbindung zum RZ flöten geht.
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?
Manuel
- Adressbuch für MFP-Scanner. Fehlanzeige.
- Radius fürs WLAN. Fehlanzeige.
- Benutzeranmeldung an Clients ohne gecachte Anmeldung. Fehlanzeige
- ...
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?
Manuel
Moin,
Gruß,
Dani
Die 2 Lösung bei mir in der Verwaltung ein Forest einrichten und dann eben eine weitere Domäne hinzufügen. Bekomme ich da evtl. Probleme mit der Übertragung .aber die Datenmenge müsste meines Wissens ja sehr gering sein.
da spielt schon das Bundesland eine Rolle. Denn da gibt es verschiedene Rahmenbedingungen und sogar teilweise Vorschriften, an die sich die Schulen bzw. Schulträger halten müssen. Je nach dem darfst nicht mal einfach so eine Domäne aufbauen.Kann ich hier Probleme bekommen . Zweck Votum 22
Jein, der Beratungskreis hat erstmal keine Macht. Es kann natürlich durch aus ein, dass ein Bundesland, Schulamt oder Schulträger darauf verweisen oder sogar als Grundlage sehen. Das kann dir entweder der Schulträger oder sogar das Schulamt sagen.Gruß,
Dani
Hallo, im Endeffekt möchte ich nur die benutzeranmeldung darüber realisieren.
Wenn ich auch GPOs machen möchte wäre der Traffic ja auch nicht so extrem.
Es handelt sich hier um höchstens 50 Benutzer .
Danke für die Antwort
Wenn ich auch GPOs machen möchte wäre der Traffic ja auch nicht so extrem.
Es handelt sich hier um höchstens 50 Benutzer .
Danke für die Antwort
Zitat von @Gentooist:
Und welche Daten sollen darauf gespeichert werden? Schule bedeutet häufig haufenweise Daten, die dem Datenschutz unterliegen.
Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.
Und welche Daten sollen darauf gespeichert werden? Schule bedeutet häufig haufenweise Daten, die dem Datenschutz unterliegen.
Also ich würde darauf achten, dass das Rechenzentrum nach ISO27001 zertifiziert ist und im Gebiet der EU sitzt.
Es geht rein nur um Benutzerverwaltung, alle anderen Daten, werde. Vor Ort gespeichert (NAS)
Zitat von @SeaStorm:
Was bezweckst du mit dem "AD Zugang" ? Geht es nur um die Zentrale Benutzerverwaltung?
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.
Was bezweckst du mit dem "AD Zugang" ? Geht es nur um die Zentrale Benutzerverwaltung?
Falls Ja reicht ja eigentlich auch ein einfaches LDAP. Das könnte man auch irgendwo lokal auf einem Mini Server haben.
GPOs und all den anderen Krams von einem AD hast du dann halt nicht. Aber bisher ja offenbar auch nicht.
Es geht nur um Benutzerverwaltung,
Damit ich dies zentral lösen kann.
Jetzt ist alles mit lokalen Konten geregelt .
Das möchte ich eben weghaben.
Zitat von @manuel-r:
Vielleicht bin ich da etwas old school, aber ich bin immer noch der Meinung ein DC (mit GC) gehört an den Standort den er bedienen soll. Nicht in irgendein RZ irgendwo auf der Welt. Weil ansonsten sehr schnell einiges nicht funktioniert wenn die Verbindung zum RZ flöten geht.
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?
Manuel
Vielleicht bin ich da etwas old school, aber ich bin immer noch der Meinung ein DC (mit GC) gehört an den Standort den er bedienen soll. Nicht in irgendein RZ irgendwo auf der Welt. Weil ansonsten sehr schnell einiges nicht funktioniert wenn die Verbindung zum RZ flöten geht.
- Adressbuch für MFP-Scanner. Fehlanzeige.
- Radius fürs WLAN. Fehlanzeige.
- Benutzeranmeldung an Clients ohne gecachte Anmeldung. Fehlanzeige
- ...
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ansonsten, wenn es tatsächlich VMs "igendwo" werden sollen, warum dann nicht gleich bei dir im RZ?
Manuel
Ich habe leider in der Schule nicht die Möglichkeit.
Deswegen meine Frage, einen DC direkt bei mir imRZ oder bei meinem Dienstleister mieten, da hab ich aber Zweifel wegen nicht zertifiziert zwecks Datenschutz und iso .
Hallo
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Lesenswert dazu:
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...
Das Gymnasium bewegt sich rechtlich auf sehr dünnem Eis...
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...
Das Gymnasium bewegt sich rechtlich auf sehr dünnem Eis...
2
So wie ich das am Rande mitverfolgen durfte dauerte der gesamte Prozess nun 3 Jahre und wird auch an weiteren Schulen in BY mittlerweile identisch gehandhabt. Die Probleme sind bekannt, dort sitzen ja keine Anfänger, aber die Entscheidung ist einfach alternativlos. So deren Begründung.
Zitat von @MacLeod:
Hallo
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Wir haben auch überall O365 . Aber das möchte ich ablösen, wir sind auch in bayern, un sind eine Grundschule . DSGVO technisch ist das sehr fragwürdigHallo
Ale mein Gymnasium um die Ecke, an dem ich früher auch war, realisiert das Management für die Surface Endgeräte für das Lehrerkollegium nun mit Office 365. Nach langem Für und Wider haben Sie sich dazu entschlossen. Wir sind hier in Bayern.
MfG,
MacLeod
Zitat von @MacLeod:
So wie ich das am Rande mitverfolgen durfte dauerte der gesamte Prozess nun 3 Jahre und wird auch an weiteren Schulen in BY mittlerweile identisch gehandhabt. Die Probleme sind bekannt, dort sitzen ja keine Anfänger, aber die Entscheidung ist einfach alternativlos. So deren Begründung.
So wie ich das am Rande mitverfolgen durfte dauerte der gesamte Prozess nun 3 Jahre und wird auch an weiteren Schulen in BY mittlerweile identisch gehandhabt. Die Probleme sind bekannt, dort sitzen ja keine Anfänger, aber die Entscheidung ist einfach alternativlos. So deren Begründung.
Wenn du bei der Grundschule das Votum 2022 nimmst ist O365 schon sehr Grenzwertig. Wie es im Gym ist weis ich nicht
@nobody-k:
Hallo.
Bundesland Bayern?
Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).
Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).
Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).
Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.
Viele Grüße
von
departure69
Hallo.
Bundesland Bayern?
Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).
Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).
Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).
Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.
Viele Grüße
von
departure69
Zitat von @nobody-k:
Ich habe leider in der Schule nicht die Möglichkeit.
Deswegen meine Frage, einen DC direkt bei mir imRZ oder bei meinem Dienstleister mieten, da hab ich aber Zweifel wegen nicht zertifiziert zwecks Datenschutz und iso .
Zitat von @manuel-r:
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Wenn also in den Schulen keine entsprechende Infrastruktur zur Virtualisierung vorhanden ist käme für mich nur ein (kleines) Blech in Frage das den Job übernimmt.
Ich habe leider in der Schule nicht die Möglichkeit.
Deswegen meine Frage, einen DC direkt bei mir imRZ oder bei meinem Dienstleister mieten, da hab ich aber Zweifel wegen nicht zertifiziert zwecks Datenschutz und iso .
Das glaube ich dir nicht, dass du nicht im Lehrerzimmer oder woanders einen kleinen alten PC hinstellen könntest, der als DC fungiert. Der muss ja auch nicht leistungsstark sein. So ein DC langweilt sich die meiste Zeit sowieso und kann extrem ressourcenarm aufgebaut werden.
Zettel dran: "Bitte nicht abstecken" und gut ist.
Der Ausfallsicherheit nimmst du noch einen 2. alten PC und machst da einen 2. DC drauf.
1
Natürlich kann ich einen kleinen Server irgendwo hinstellen,
Nur ist das nach meinem befinden nicht gut,
Da für mich ein Server so platziert werden muss, das er vor unbefugte Geschütz ist.
Nur ist das nach meinem befinden nicht gut,
Da für mich ein Server so platziert werden muss, das er vor unbefugte Geschütz ist.
Zitat von @departure69:
@nobody-k:
Hallo.
Bundesland Bayern?
Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).
Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).
Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).
Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.
Viele Grüße
von
departure69
Hi@nobody-k:
Hallo.
Bundesland Bayern?
Da bin ich auch zu Hause und betreue die IT zweier Schulen (mit).
Meines Wissens ist es nicht zulässig, die Schul-IT in eine andere bereits bestehende AD-Domäne miteinzubinden (auch nicht per Site-To-Site oder in eine Subdomain davon), die mit der Schule direkt nichts zu tun hat (also zum Beispiel des Schulträgers/Sachaufwandsträgers).
Für Schulen wurde immer eine eigene, autarke IT verlangt. Ob diese dann irgendwo z. B. in einem RZ eines kommerziellen Anbieters virtuell residieren darf, mußt Du klären, z. B. beim staatl. Schulamt, beim Kultusministerium oder wo auch immer Du jemanden findest, der dazu rechtsverbindliche Auskunft geben kann. Aber das irgendwie an Deine AD-Domäne mit anflanschen, das ist meines Wissens nicht erlaubt. Und daß es dabei "nur um die Anmeldung" geht, ist natürlich Unfug, wenn Du bspw. eine Lehrkraft in ein AD steckst, hat das nicht nur Auswirkung auf die bloße Anmeldung an Windows, sondern auch auf alles andere (Rechte auf Dateien/Verzeichnisse, Druckrechte undundund), es gibt kein Active-Directory-"Light" (also nur für die Anmeldung).
Und innerhalb der Schule muß sogar der pädagogische Teil der Schule (Schüler, Lehrer, Unterricht -> bei uns ein eigenes AD) vom Verwaltungsteil (Schulleitung, Sekretariat) physisch und logisch abgetrennt werden. Die physische Trennung habe ich durch VLANs vorgenommen, die logische dadurch, daß die Verwaltung nicht zur pädagogischen AD-Domäne gehört, sondern eine eigene Workgroup ist. Die 4-5 Rechner der Verwaltung waren mir für ein eigenes Verwaltungs-AD zu klein/zu wenig, mit einer Workgroup klappt das wunderbar. Die Verwaltung hat auch einen eigenen Server und ein eigenes Backup.
Viele Grüße
von
departure69
Laut dem Votum 22 kann ich Schüler Trakt und Lehrer Trakt per vlan trennen. Und natürlich kann ich ein AD nur für die Anmeldung nutzen.
Alle anderen schöne Dinge wie Sicherheitsgruppen GPO etc. Kann ich doch steuern was ich davon nutzen werde.
Laut meines Wissen darf ich einen Forest machen, da ja keine Vertrauensstellung besteht.
Von einer workgroup will ich eben weg, viel zu viel Verwaltung .
