Beratung und Support Technische Plattform Support-Netz-Portal paedml - stabil und zuverlässig vernetzen Verfahrensverzeichnis Anhang zu Anlage 4 zu 11 Verfahrensverzeichnis für die paedml Windows 3.0 - ab Patch 4 Stand 09.09.2015 / V 1.1.2 paedml Windows Version: 3.0
Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße 111 70190 Stuttgart Autoren der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ Martin Ewest Markus Finkenbein Ulrich Hollritt Soo-Dong Kim Alexander Wabro Endredaktion Redaktion Support-Netz. Bildnachweis Titelbilder: Thinkstock Weitere Informationen www.support-netz.de www.lmz-bw.de Veröffentlicht: 2015 Die Nutzung dieses Handbuches ist ausschließlich für eigene Zwecke zulässig. Die Nutzung sowie die Weitergabe dieses Handbuches zu kommerziellen Zwecken wie z.b. Schulungen ist nur nach ausdrücklicher Einwilligung durch das LMZ erlaubt. Landesmedienzentrum Baden-Württemberg
Inhaltsverzeichnis 1. Rollen und Rechtekonzept... 4 1.1 Rechte auf der Arbeitsstation... 4 1.2 Rechte auf dem Server... 4 1.2.1 Zugriffsrechte der Lehrkräfte im Netzwerk... 4 1.2.2 Zugriffsrechte der Schüler im Netzwerk... 4 1.2.3 Zugriffsrechte des Administrators... 5 1.3 Zugriffsrechte auf Projekte... 5 1.4 Ferndiagnose und Fernwartung durch das LMZ Baden-Württemberg... 5 2. Speicherung personenbezogener Daten... 5 2.1 Zugangsdaten... 6 2.2 Daten, die im Verlauf der Nutzung der paedml entstehen... 6 2.2.1 Arbeitssitzungsdaten... 6 2.2.2 Webseitenaufrufe... 6 2.2.3 Protokoll Druckaufträge... 7 3. Sperr- und Löschfristen... 7 4. Beschreibung der eingesetzten Software... 7 5. Änderungsdokumentation... 8
Pos: 1 /LMZ/paedML 3.0 - ADMIN/Ei nführ ung/ei nführ ung + T ypografische Konventionen @ 1\mod_1396870505068_6.docx @ 7829 @ 122 @ 1 1. Rollen und Rechtekonzept Je nach der Rolle, die einem Benutzer zugeordnet ist, haben die Benutzer der paedml Windows unterschiedliche Zugriffsrechte auf Daten, die mittels Standardmechanismen der eingesetzten Windows- Betriebssysteme (Gruppenzugehörigkeit, Verzeichnisrechte etc.) umgesetzt sind. In der paedml Windows gibt es die Nutzergruppen Schüler, Lehrer und Administrator. Zugang zum Netzwerk haben alle Nutzergruppen. 1.1 Rechte auf der Arbeitsstation Die Anmeldung von normalen Benutzern an den jeweiligen Arbeitsstationen des Schulnetzes ist durch serverbasierte, verbindliche Profile ( Mandatory Profiles ) realisiert, welche bei jedem Abmeldevorgang wieder von der Arbeitsstation verworfen werden. Mit der Anmeldung auf einer Arbeitsstation haben reguläre Benutzer (Schüler und Lehrer) Zugriff auf Laufwerk c: der Arbeitsstation. Jedoch haben Sie keinerlei administrative Berechtigungen auf den Arbeitsstationen. Die eigentliche Arbeit im Schulnetz findet bei regulären Benutzern auf Basis von definierten serverseitigen Verzeichnissen statt, welche bei der Anmeldung an der Arbeitsstation auf voreingestellte lokale Laufwerksbuchstaben verbunden werden. Anmeldungsversuche an den Servern mit Schüler- oder Lehrer-Konten werden per Sicherheitsrichtlinie abgewiesen. 1.2 Rechte auf dem Server Die eigentliche Arbeit im Schulnetzwerk also die Ablage von Daten findet in Verzeichnissen auf dem Server statt. Nach der Anmeldung am Arbeitsrechner kann auf diese Verzeichnisse zugegriffen werden. Dabei haben die Nutzergruppen im Auslieferungszustand die im Folgenden beschriebenen Rechte. 1.2.1 Zugriffsrechte der Lehrkräfte im Netzwerk Lehrkräfte haben Zugriff auf ihr eigenes Homeverzeichnis und auf die Homeverzeichnisse aller Schüler. Darüber hinaus haben Lehrkräfte Zugriff auf die Tauschverzeichnisse (Lehrertauschverzeichnis, Klassentauschverzeichnisse, sowie Projekttauschverzeichnisse, falls sie Mitglied des Projekts sind). 1.2.2 Zugriffsrechte der Schüler im Netzwerk Schüler haben Zugriff auf das jeweils eigene Homeverzeichnis sowie auf das Tauschverzeichnis der eigenen Klasse und auf Tauschverzeichnisse von Projekten, denen sie angehören. paedml Windows / Version: 3.0 / Verfahrensverzeichnis / Stand 09.09.2015 / V 1.1.2 Seite 4
1.2.3 Zugriffsrechte des Administrators Der Systemadministrator (zumeist der Netzwerkberater der Schule) hat alle Systemrechte. Er verwendet abhängig von seiner jeweiligen Tätigkeit am System vordefinierte Benutzerkonten mit administrativen Rechten. Der Administrator hat den Vollzugriff auf das System. Administratoren können ebenso wie Lehrer auf die Bildschirminhalte der Schüler zugreifen (Bildschirme anzeigen und PC fernsteuern). Mit den Server-Benutzer-Rollen "root" und "Administrator" können hierbei alle Daten auf den Schulservern eingesehen werden. Im Wartungsfall werden die administrativen Benutzer-Rollen auch vom jeweiligen Dienstleister verwendet. Die verschiedenen SharePoint Administroren (zum Beispiel: SP-Farm-Admins oder SP- Websitesammlungs-Admins) dienen der Verwaltung des SharePoint Servers mit entsprechenden Berechtigungen. Des Weiteren gibt es verschiedene vorbereitete Gruppen mit administrativen Rechten. Diese sind im Adminnistratorhandbuch beschrieben (zum Beispiel: Projektadministrator, Lehreradministrator, Schüleradministrator, ) und können in der Rechteverwaltung der Schulkonsole einzelnen Benutzern zugewiesen werden. Hotline-Mitarbeiter des LMZ-BW, welche im Rahmen der Fernwartung auf ein Kundensystem zugreifen, protokollieren ihre Tätigkeiten in ein entsprechendes Ticketsystem, aus welchem stets eine Email- Benachrichtigung über die durchgeführten Tätigkeiten an den zuständigen Netzwerkberater resultiert. 1.3 Zugriffsrechte auf Projekte Auf die Projektverzeichnisse können nur Projektmitglieder und Projektleiter, sowie der Administrator zugreifen. 1.4 Ferndiagnose und Fernwartung durch das LMZ Baden- Württemberg Bei der Inanspruchnahme von Ferndiagnose (zur Fehlersuche) oder Fernwartung (zur Fehlerbehebung) durch das LMZ kann das Benutzerkonto remoteadmin verwendet werden. Das Passwort wird im UserHelp Desk (Anwenderunterstützung) der Abteilung Support-Netz des LMZ hinterlegt. Die Rechtevergabe an Dienstleister liegt im Ermessen der Schulleitung / des Netzwerkberaters. 2. Speicherung personenbezogener Daten Personenbezogene Daten werden von den Nutzergruppen Lehrer, Schüler und Netzwerkberater gespeichert und in Personalien, Arbeitssitzungsdaten und Webseitenaufrufe eingeteilt. Im Auslieferungszustand sind diese Daten dem Administrator zugänglich. paedml Windows / Version: 3.0 / Verfahrensverzeichnis / Stand 09.09.2015 / V 1.1.2 Seite 5
2.1 Zugangsdaten Im Auslieferungszustand enthält die paedml keine personenbezogenen Daten. Diese Informationen können in Form einer Schüler- und Lehrerliste in die paedml importiert werden. Die Benutzerdaten werden hierfür zum Beispiel aus dem Schulverwaltungsprogramm übertragen und in das System eingelesen. Alternativ können Benutzer manuell über die Schulkonsole angelegt werden. Die Daten werden in einer Benutzerdatenbank (im zentralen Verzeichnisdienst des DC01 (Active Directory) und der SQL-Datenbank des SharePoint Servers (SP01)) sowie im Cache des Directory Services gespeichert. Folgende Personalien werden für die Erstellung der Benutzerprofile gespeichert: Lehrer: Nachname, Vorname, Benutzername, Schulart Schüler: Nachname, Vorname, Benutzername, Schulart, Klasse Administrator: Für die verschiedenen administrativen Rollen existieren bereits die entsprechenden Systemkonten, diese sind frei von Personalien. 2.2 Daten, die im Verlauf der Nutzung der paedml entstehen Nutzungsdaten fallen bei allen Nutzergruppen bei der Durchführung bestimmter Aktionen im System an (An-/Abmelden und Webseitenaufrufe) und werden in den Systemprotokollen gespeichert. Diese Protokolle werden eingeteilt in die Gruppen Arbeitssitzungsdaten, Webseitenaufrufe (Intranet und Internet) und Druckprotokolle. Desweiteren werden beim Versetzen und beim Import von Benutzern diese Vorgänge im Verzeichnis: D:\paedML\logs\ des SP01 gespeichert und können vom Administrator bei Bedarf gelöscht werden. Eine automatisierte Lösung findet nicht statt. 2.2.1 Arbeitssitzungsdaten Es werden keine Arbeitssitzungsdaten gespeichert. Im Falle von Fehlermeldungen könnten in der Ereignisanzeige Infomartionen zu: Datum, Uhrzeit, Benutzername, An- oder Abmeldung, Rechneradresse, Fehlermeldung erfasst werden. 2.2.2 Webseitenaufrufe alle Benutzer: Datum, Uhrzeit, Webseite (URL), Benutzername, Rechneradresse paedml Windows / Version: 3.0 / Verfahrensverzeichnis / Stand 09.09.2015 / V 1.1.2 Seite 6
2.2.3 Protokoll Druckaufträge Durch den Druckerspooler auf dem SP01 werden Systembedingt Druckeraufträge protokolliert. Durch die paedml werden die Standardeinstellungen nicht verändert. Protokolliert werden: Datum, Uhrzeit, Benutzername, Rechneradresse, Fehlermeldungen 3. Sperr- und Löschfristen Es gibt keinen Automatismus, welcher die Nutzerdaten, Personalien und persönlichen Verzeichnisse von ausgeschiedenen Benutzern löscht. Dies muss vom jeweiligen Administrator vor Ort (Netzwerkberater) händisch vorgenommen werden. Die Protokollierungseinstellungen des Serverbetriebssystems Windows Server 2012 und der entsprechenden Clientbetriebssysteme werden durch die paedml Windows 3.0 nicht verändert. Fehlermeldungen am DC01 (z.b. Directory Service) werden in der Ereignisanzeige des DC01 zum Teil mit Benutzernamen erfasst. Fehlermeldungen am SP01 (z.b. Directory Service, Schulkonsole, MySite) werden in der Ereignisanzeige des SP01 zum Teil mit Benutzernamen erfasst. In den SharePoint Logfiles auf dem SP01 unter F:\SharePointLogs\ werden technische Informationen zu Fehlermeldungen, Anmeldezeiten usw. mit entsprechenden Benutzer und Rechnernamen erfasst. Diese LogFiles werden maximal 14 Tage oder bis zu einer Größe von 15 GB gespeichert und danach automatisch überschrieben. Per http oder https aufgerufene Webseiten werden in der Octogate Firewall verschlüsselt protokolliert und für 30 Tage gespeichert. Zugriff auf die aufgerufenen Webseiten ohne Zuordnung zu Benutzernamen hat nur der Administrator. Zugriff auf die personalisierten Daten erhalten Sie nur nach Freischaltung eines dedizierten Reporting-Benutzerkontos, welches in Abstimmung mit der zuständigen Schulleitung durch den verantwortlichen Netzwerkberater über die Support-Netz-Hotline des LMZ-BW beim zuständigen Firewall-Lieferanten (Firma OctoGate) beantragt werden kann. 4. Beschreibung der eingesetzten Software Die Server der paedml Windows 3.0 und höher werden mit folgender Standardsoftware betrieben: paedml 3.0 Server Betriebssystem: Microsoft Windows Server 2012 Standard Firewall Betriebssystem: Octogate Firewall Client Management: opsi 4.0.4 basierend auf ubuntu 14.0. paedml Windows / Version: 3.0 / Verfahrensverzeichnis / Stand 09.09.2015 / V 1.1.2 Seite 7
Pos: 9.1 /LMZ/paedML 3.0 - ADMIN /Kl assenarbeiten/ü 1 Kl assenar beiten @ 1\mod_1396604512829_6.docx @ 7771 @ 1 @ 1 5. Änderungsdokumentation Version Geänderte oder ergänzte Kapitel Stand 30.03.2015 / V 1.1.1 2., 3. Stand 09.09.2015 / V 1.1.2 2.2 paedml Windows / Version: 3.0 / Verfahrensverzeichnis / Stand 09.09.2015 / V 1.1.2 Seite 8
Landesmedienzentrum Baden-Württemberg (LMZ) Support Netz Rotenbergstraße 111 70190 Stuttgart Landesmedienzentrum Baden-Württemberg, 2015