muesliriegel
Goto Top

Verwaltung Lehrernotebooks

Hallo Forengemeinde!

An einer Schule sollen ca. 50 Lehrer mit persönlichen Notebooks (Windows 10 Education) ausgestattet werden. Diese sind für die Vorbereitung von digitalen Lernmaterialien gedacht, sodass später die Schüler mit Tablets ausgestattet werden können.

Zur vorhandenen bzw. geplanten Infrastruktur:
- Physikalische Trennung der PCs Rektor, Konrektor und Sekretariat von der restlichen Schul-IT (diese drei PCs sind direkt an das kommunale Netzwerk angeschlossen)
- Schulserverlösung der Firma SBE (https://sbe.de/loesungen/logodidact/) auf Linux-Basis. Enthält u.a. ein Benutzerverzeichnis, einen RADIUS-Client und einen Fileserver
- Ubiquiti AP Pro WLAN-Accesspoints über das gesamte Gebäude verteilt
- Die ca. 80 PCs in den PC-Räumen und Klassenzimmern werden beim Hochfahren automatisch immer auf den letzten Stand zurückgesetzt. Das Image wird unregelmäßig aktualisiert (z.B. mit den aktuellen Windows-Updates versehen)

Es stellt sich die Frage, wie diese Notebooks verwaltet werden sollen:
- Werden die Notebooks wie die PCs über den Schulserver verwaltet und bei jedem Hochfahren zurückgesetzt (also die Systempartition; die Datenpartition soll bleiben)?
- Oder erhalten die Lehrer lokale Adminrechte?
- Oder sollen sie so wie normale Bürorechner laufen (User hat nur Benutzerrechte)?
- Wir ein zentrale Virenschutzmanagementlösung benötigt?
- Die Geräte sollen verschlüsselt werden. Wäre Bitlocker die sinnvollste Lösung? Wird zur Sicherung der Schlüssel eine Domäne benötigt?

Die bisherige Überlegung:
- Windows 2016 Server als Administrationsserver aufstellen.
- Verbindung der Lehrernotebooks über DirectAccess zum Administrationsserver und damit in das Schulnetz. => Dadurch sollte das Gerät idiotensicher bedienbar sein, dank Direct Access kann man immer auf den Schulfileserver zugreifen, egal ob man in der Schule oder daheim ist, ohne erst manuell VPN-Verbindungen herstellen zu müssen
- Virenschutzmanagement auf dem Administrationsserver
- WSUS auf dem Administrationsserver
- Die Mails werden extern gehostet, das ist also kein Thema.

Unklar ist dabei:
- Wird eine Domäne zur Verwaltung der Notebooks benötigt?
- Lässt sich eine Winows-Domäne mit dem vorhandenen Linux-Schulserver koppeln?
- Wie sind die Erfahrungswerte bezüglich persönlcihen mobilen Notebooks? Sollten die Anwender lokale Adminrechte darauf erhalten? Es gibt an der Schule zwar einen EDV-Lehrer, aber der hat eigentlich keien Zeit sich um die Installation von Software auf den einzelnen Notebooks zu kümmern. Auf der anderen Seite hat er aber auch keine Zeit Notebooks neu aufzusetzen, sollten Lehrer ihre dank der lokalen Adminrechte beschädigen...

Bislang ke´nnen wir keine Schule, an der ebenfalls die Lehrer mit Notebooks ausgestattet wurden, daher ist das derzeit alles Neuland für uns....

Content-ID: 324250

Url: https://administrator.de/contentid/324250

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

DerWoWusste
DerWoWusste 19.12.2016 um 00:02:07 Uhr
Goto Top
Hi.

Du machst eine Antwort sehr schwer, indem Du die Frage sehr vielschichtig gestaltest. Unterteile sie lieber in mehrere Einzelfragen, jede mit eigenem Thread. Ich gehe mal exemplarisch auf ein mir nahe liegendes Thema ein: die Absicherung:

Verschlüsselung ist Pflicht und Bitlocker eine gute Wahl. Wenn Du tatsächlich die Notwendigkeit siehst, die Rechner stets auf einen bekannten Stand zurückzurollen, musst du zusehen, dass Eure Lösung mit der Verschlüsselung klar kommt, da vermutlich nicht ständig neu verschlüsselt werden soll. Ich würde für den Verwaltungsaufwand auf weitere Bitlockerkennwörter verzichten, außer du siehst schon McGyver die Rechner stehlen und die Abiaufgaben gezielt abgreifen: also: Notebooks mit TPM-Chip kaufen. Zur Sicherung der Schlüssel wird keine Domäne benötigt, das kann man mit Skripten lösen (Einzeiler). Die Schlüssel würden dann auf Freigaben eines Servers liegen, (Freigabe: write-only für Lehrerkonten/Lehrerrechnerkonten).

Was die Adminrechte angeht: natürlich sollte man diese nicht brauchen, um Lehrerarbeit zu tun. Bei 50 PCs brauchst Du eh eine Art von Softwareverteilung, also sollte die "spontane Installation" die Ausnahme sein.

Virenscanner: ich denke, die Zahl der verwendeten Software auf den Geräten ist durchaus überschaubar. Somit solltest Du applocker einsetzen, das wirkt weitaus besser als Virenscanner.
Muesliriegel
Muesliriegel 19.12.2016 um 01:01:49 Uhr
Goto Top
Danke für die super schnelle Antwort!


Zitat von @DerWoWusste:

Du machst eine Antwort sehr schwer, indem Du die Frage sehr vielschichtig gestaltest. Unterteile sie lieber in mehrere Einzelfragen, jede mit eigenem Thread.

Ja, ist leider ziemlich komplex
a) vorhandene Lösung ist auf die Lehrernotebooks nicht ausgelegt
b) generell gibt es keine Erfahrungswerte zu gestellten Lehrernotebookns
Ich würde mal noch warten, ob ein paar weitere Antworten kommen. Will nicht zu viele Threads aufmachen...


Verschlüsselung ist Pflicht und Bitlocker eine gute Wahl. Wenn Du tatsächlich die Notwendigkeit siehst, die Rechner stets auf einen bekannten Stand zurückzurollen, musst du zusehen, dass Eure Lösung mit der Verschlüsselung klar kommt, da vermutlich nicht ständig neu verschlüsselt werden soll. Ich würde für den Verwaltungsaufwand auf weitere Bitlockerkennwörter verzichten, außer du siehst schon McGyver die Rechner stehlen und die Abiaufgaben gezielt abgreifen: also: Notebooks mit TPM-Chip kaufen. Zur Sicherung der Schlüssel wird keine Domäne benötigt, das kann man mit Skripten lösen (Einzeiler). Die Schlüssel würden dann auf Freigaben eines Servers liegen, (Freigabe: write-only für Lehrerkonten/Lehrerrechnerkonten).

Da es wirklich personenbezogene Notebooks sein werden, wäre die Bitlocker-Verschlüselung auch mit Passwort denkbar. Aber vermutlich spart man sich bei der reinen TPM-Variante Stress..


Was die Adminrechte angeht: natürlich sollte man diese nicht brauchen, um Lehrerarbeit zu tun.

Das sind wir uns allesamt nicht so sicher. Es gibt Unmengen an Software. Und Lehrer mögen es berufsbedingt gar nicht, wenn sie nicht machen können, was sie wollen. Der eine Lehrer will ein Videoschnttprogramm haben, der andere seine Notizzettel-Freeware, der dritte eine spezielle Biologie-Lernsoftware,...
Es bestand mal die Überlegung im Vorfeld Programmwünsche zu sammeln und das Installationsimage dementsprechend anzupassen. Spätere Wünsche würden dann ebenso gesammelt und immer nur alle paar Wochen eingespielt...
Für die Softwareverteilung hätte ich bislang einfach an Gruppenrichtlinien gedacht. Aber vielleicht sollte man sich doch mal OPSI oder ähnliches ansehen...


Virenscanner: ich denke, die Zahl der verwendeten Software auf den Geräten ist durchaus überschaubar. Somit solltest Du applocker einsetzen, das wirkt weitaus besser als Virenscanner.

Ich denke applocker lässt sich nicht umsetzen. Wie gesagt: Es gibt unzählige kleine Tools, die die Lehrer vemrutlich einsetzen wollen. Wenn wir jede EXE-Datei blocken, wird vermutlich niemand zufrieden sein. face-confused
H41mSh1C0R
H41mSh1C0R 19.12.2016 um 05:22:54 Uhr
Goto Top
Was die Rechte auf den Büchsen angeht, hast du eben die Wahl.

Entweder du macht die Büchsen auf und lässt viel zu, dann läufst du aber Gefahr alle Nase lang einen Refresh zu fahren --> Lehrer angefressen.

Oder du machst die Büchsen zu --> Lehrer unzufrieden weil er seine Wetterapp seines Vertrauens nicht installieren darf.

Aus eigener Erfahrung heraus würde ich mich trotzdem für letzteres entscheiden, denn man(n) muss sich seine Benutzer erziehen und das geht nicht wenn man ihnen alles erlaubt. Außerdem bekommt man einen guten Überblick was auf den Büchsen im Feld benutzt wird, wenn das zentral eingepflegt wird.
Franz-Josef-II
Franz-Josef-II 19.12.2016 um 10:27:57 Uhr
Goto Top
Servas

Du mußt Dir zuerst überlegen, was eigentlich gewünscht ist.

Beispiel:


Zitat von @Muesliriegel:
- Oder erhalten die Lehrer lokale Adminrechte?

Zitat von @Muesliriegel:
Das sind wir uns allesamt nicht so sicher. Es gibt Unmengen an Software. Und Lehrer mögen es berufsbedingt gar nicht, wenn sie nicht machen
können, was sie wollen. Der eine Lehrer will ein Videoschnttprogramm haben, der andere seine Notizzettel-Freeware, der dritte eine spezielle
Biologie-Lernsoftware,...

Paßt irgendwie mit dem nicht zusammen face-wink

Zitat von @Muesliriegel:
- Werden die Notebooks wie die PCs über den Schulserver verwaltet und bei jedem Hochfahren zurückgesetzt

Also soll er oder nicht? Wenn er sie hat und ich bei jedem Start im Schulsystem zurücksetze, kommt nicht so gut an face-wink

Zitat von @Muesliriegel:
Für die Softwareverteilung hätte ich bislang einfach an Gruppenrichtlinien gedacht. Aber vielleicht sollte man sich doch mal OPSI oder ähnliches > ansehen...

Der opsi ist nicht schlecht, habe ich auch.


Ansonsten:
- Verschlüsselung auf alle Fälle, Bitlocker ist nicht schlecht und dabei.
- Server: Ich würde entweder auf Linux oder auf MS-Server setzen. Was kostet Dich ein MS-Server?
- Domäne: Nicht zwingend, macht aber vieles einfacher und wenn die NBs Schuleigentum bleiben, würde ich es tun.
- Man kann es nicht jedem recht machen, aber man braucht eine praktische Umsetzung die von der Direktion getragen wird.
- Denke dran: Jeder Lehrer will alles selber machen und wenn das System crasht, dann bist Du derjenige, der schuld ist face-wink Wenn Rechte abgetreten werden, dann MÜSSEN auch die Verantwortlichkeiten dort sein face-wink und zwar ALLE.
umount
umount 19.12.2016 aktualisiert um 21:55:48 Uhr
Goto Top
Ich verwende selber Logodidact allerdings privat. Die Clients auf dem neuesten Stand zu halten ist mit sehr viel Aufwand verbunden denn es muss jedes Mal ein neues Image erstellt und ausgerollt werden. Es sollte mindestens ein Netzwerk mit Gigabit sein, sonst können sie das vergessen. Meine Rechner werden gar nicht geupdatet da diese bei jedem Neustart wieder gelöscht werden (mySHN 7.5) es sollte Logodidact 2.0 verwendet werden ich helfe ihnen gerne dabei und kostenlos.


Als Alternative wäre da noch Linuxmuster.net und Netop Vision als ergänzung Linuxmuster kann auch mit Opsi Integriert werden, Linuxmuster ist zurzeit unser Klassenprojekt und ich bin Präsentierer weil ich schon selbst damit gearbeitet habe.

Das System funktioniert offline auch die Notebooks werden zurückgesetzt.
chgorges
chgorges 20.12.2016 aktualisiert um 22:39:24 Uhr
Goto Top
Zweigleisig fahren, im pädagogischen Netz mit Logodidact etc. und zusätzlich noch eine eigene Domäne inkl. Windows-Server für 50 Lehrer-Notebooks würde ich nicht administrieren wollen, da viel zu aufwendig und vor allem zu kompliziert.

Du hast folgende Probleme:
- Lehrernotebooks sind in Domäne und Netz A, Anforderung des Kollegiums ist, auf die Homelaufwerke von Logodidact in Domäne und Netz B zuzugreifen = Nicht umsetzbar
- Kollegium mit Notebooks in Domäne A befinden sich an der Schule im Lehrerzimmern oder Unterrichtsräumen, wollen hier aber auch auf die lokalen Drucker zugreifen, die sich in Netz B befinden = Nicht umsetzbar
- WLAN: Hier musst du dank Netz A und B mit VLANs fahren, was aber eine entsprechende Infrastruktur voraussetzt
- Hast du wirklich Lust, alle 50 Geräte einzeln anzufassen, Office, AV, HDGuard im Turnschuhstyle etc zu installieren?

Linuxmuster.NET ist btw. auch keine Alternative und imho derselbe wie Logodidact, weil, wenn man seine IT sauber professionell machen möchte, man für jede Hardwareklasse ein eigenes Image (Windows-Bereich) haben muss. Zudem ist der OPSI nur rein alibimäßig und stiefkindlich verfügbar.

Informier dich mal über die paedML Linux, da ist der OPSI sauber integriert und man kann mit vergleichbar geringem Aufwand eine ganze Infrastruktur in kurzer Zeit hochziehen.

Zudem hast du hier das Problem nicht, dass du mit dubiosen WoL- und Cron-Jobs arbeiten musst, damit deine PCs sauber bleiben (zumal, in Anlehnung an Linuxmuster.NET das Windows OS von Linbo von Version zu Version immer stiefkindlicher behandelt wird und der ständige ReSync nicht wirklich Windowsverträglich ist).

Unabhängig des pädagogischen Netzes empfehle ich dir dringend, für die Lehrernotebooks keine eigene Infrastruktur/Domäne/LAN hochzuziehen und diese in das normale Unterrichtsnetz zu integrieren, das Kollegium dankt es dir, weil man sämtliche oben aufgezählten Probleme umgeht.