Technische Grundlagen und Konzepte von SPH-PaedNet [ID 267]

Inhalte dieses Artikels

1. Rollen in SPH-PaedNet
2. Installationsvoraussetzungen
3. Installationskomponenten
4. Benutzerverwaltung
5. Laufwerke
6. Active Directory
7. Dateizugriffe
8. Clientsteuerung
9. Login-Skripte
10. Port-Blockade für die Internet-Sperrung
11. Sinnvolle Ergänzungen

1. Rollen in SPH-PaedNet

Innerhalb eines Schulnetzes können drei Benutzergruppen unterschieden werden, die unterschiedliche Bedürfnisse haben und verschiedene Anforderungen an eine Netzwerklösung stellen.

2. Installationsvoraussetzungen

Um SPH-PaedNet einsetzen zu können, müssen bestimmte Voraussetzungen innerhalb des Schulnetzes erfüllt sein.

• Im Schulnetzwerk muss eine Windows 2019-Domäne oder höher eingerichtet sein. (Neuinstallationen)

• Die Clients müssen über Windows 11 als 64-Bit-Version in der Variante EDU oder Enterprise verfügen.
  Windows PRO wird unterstützt jedoch ohne integrierten Festplattenschutz. Andere Betriebssysteme werden nicht unterstützt.

• Die Clients müssen PaedNet-konforme Rechnernamen haben.
  Ein PaedNet-konformer Rechnername beginnt mit der Raumnummer, gefolgt von der Bezeichnung PC und einer zweistelligen Zahl.
  Ein Rechner des Raumes C01 könnte beispielsweise den Namen C01PC01 haben.

  • Die Nummerierung sollte durchgängig sein und mit 01 beginnen (C019PC01, C01PC02 usw.).

  • Enthält der Raum neben Lernendenrechnern einen Lehrkräfterechner (z.B. Computerraum), muss dieser die Zahl 00 am Ende bekommen, also z.B. C01PC00. Dieser erhält dadurch Steuerungsmöglichkeiten für alle anderen Rechner. Es kann in diesem Raum nur einen Lehrkräfterechner geben. 

  • Ab SPH-PaedNet 10.0 kann ein eigenständiger Lehrerarbeitsraum eingerichtet werden. Achten Sie darauf, dass es in diesem Raum keinen PC mit Zahl 00 am Ende gibt.

3. Installationskomponenten

Bei der Installation von PaedNet werden die folgenden Komponenten installiert, wobei jede der Installationskomponenten eine andere Aufgabe erfüllt.

Auf dem Server:

1. Setup:
   • Einstellungen für die Installation
   • Einrichten von PaedNet-Gruppenrichtlinien
   • Installiert den FTPS-Server (als Fallback zur Anmeldung)
     FTP ist ein Protokoll für den Dateiaustausch zwischen zwei Rechnern. Es wird häufig im Internet eingesetzt, um Dateien auf eine Homepage zu laden. In diesem Fall dient er als Fallback-Variante für das Laufwerksmapping.
2. PaedNet-Controller:
   • Er ist u.a. verantwortlich für
     • den Abgleich/Synchronisierung der Benutzerdaten mit SPH-PaedOrg (Neuanlage/Aktualisierung/Deaktivierung und Löschung von Nutzenden im ActiveDirectory)
     • die Anlage/Löschung von neuen Verzeichnissen inkl. Setzen der Rechte
     • die Steuerung der Anmeldung an den SPH-PaedNet Anwendermodulen.
   • Dadurch wurde eine bessere Geschwindigkeit des Gesamtsystems erreicht, was zu einer Verringerung von Wartezeiten für alle Nutzenden führt. Ebenso wurde die Fehleranfälligkeit minimiert und damit der Supportaufwand reduziert.
   • Zusätzlich legt er Grundstrukturen im AD und in der Ordnerebene an.
3. Raumverwaltung:
   • Anlegen und verwalten von Räumen
   • Legt die Grundstrukturen für Räume im AD an (siehe Anonyme User auf Folie "Benutzerverwaltung")
   • Erstellt Raumordner und setzt die raumspezifischen Ordnerfreigaben (siehe Folie „Laufwerke“)

Auf den Clients:

ClientUpdate:

• • Clients von Lernenden und Lehrkräfte werden durch das Programm Clientupdate in das SPH-PaedNet-System integriert.
  • Bei dieser Einrichtung werden verschiedene Module und Tools installiert, welche für die reibungslose Funktionalität notwendig sind.
    • Vorbereitung der Fernsteuerung aus Lehrermodul und Adminmodul
  • Aktualisierung: z.B. Softwareverteilung

4. Benutzerverwaltung

Die Benutzerverwaltung in SPH-PaedNet ist zweigeteilt: 

• Anonyme Windows-User:
  Werden auf dem Windows-Server im Active Directory automatisch bei der Einrichtung eines PaedNet-Raumes erstellt. Für jeden eingebundenen PC wird ein eigener Windows-Account erstellt. Der Name dieses Kontos richtet sich nach dem Rechnernamen. Für den PC "C01PC01" wird der User "C01U01" angelegt. Nur genau dieser User kann sich später an diesem PC anmelden. Diesen anonymen Benutzern sind Zugriffsrechte innerhalb der Windowsdomäne zugeordnet.

• Personalisierte PaedNet-User:

• Die Nutzerdaten werden zunächst aus der LUSD in die Benutzerverwaltung von SPH-PaedOrg importiert. Hier erfolgt zentral die Neuanlage, Bearbeitung und Aktualisierung des Nutzerstammes auch für PaedNet. Es besteht jederzeit die Möglichkeit im schulischen Netzwerk Passwörter direkt zurückzusetzen oder zu ändern. Somit sind Sie und die Lehrkräfte in der Schule jederzeit arbeitsfähig, egal ob Sie gerade Zugriff auf das Internet haben oder nicht.

• Diese werden über den PaedNet-Controller von SPH-PaedOrg in das schulische Active Directory übertragen.
  Der PaedNet-Controller wurde als zentraler Dienst auf dem PaedNet-Server eingeführt und löst damit diverse Einzeldienste ab (u.a. Mover, Raiser, AD_Connector, UserUpdater).

• Das Active Directory ist ein Verzeichnisdienst (ähnlich wie ein großes Telefonbuch), in dem alle Nutzerdaten und Zugangsdaten gespeichert sind.
  Nur wer im Active Directory eingetragen ist, kann sich im schulischen Netzwerk einloggen. Auf diese Weise authentifizieren sich alle angebundenen Systeme. Somit können sich die Nutzenden sowohl an den angebundenen PCs in der Schule als auch an angebundenen Fremdsystemen (z. B. WLAN-Controller, Microsoft 365) anmelden.

• Vorteil: Die PaedNet-User sind nicht an einen bestimmten Client gebunden.

5. Laufwerke

SPH-PaedNet stellt eine Vielzahl von Netzwerklaufwerken zur Verfügung. Diese Laufwerke haben verschiedene Funktionen.

• Auf das "anonyme" (rechnerbezogene) Home-Laufwerk haben nur der anonyme User (s.o.) des jeweiligen Rechners (z.B. C01U01 am Computer C01PC01) und die Lehrkräfterechner Zugriff.
• Die Inhalte können von jedem User, der an diesem PC arbeitet, eingesehen und verändert werden

• Auf das Raumtausch-Laufwerk haben alle Rechner eines in SPH-PaedNet angelegten Raumes Zugriff. Es gibt für jeden Raum ein eigenes Raumtauschlaufwerk.
• Ein PaedNet-Raum ist eine organisatorische und keine räumliche Einheit.
• Es können auch Computer unterschiedlicher Standorte zu einem PaedNet-Raum zusammengefasst werden (z.B. alle digitalen Tafeln einer Schule), bzw. Rechner eines physischen Raums unterschiedlichen PaedNet-Räumen zugeordnet sein.
• Jeder PaedNet-Nutzer kann im Raumtausch-Laufwerk Dateien und Ordner anlegen, verändern, lesen und löschen.
• Rechner eines Raumes sind alle Rechner, die die gleiche Raumbezeichnung im Rechnernamen tragen, beispielsweise C01 bei den Rechnern C01PC01, C01PC02 usw.

• Das Schultauschlaufwerk funktioniert genauso wie das Raumtauschlaufwerk. Allerdings haben auf das Schultauschlaufwerk alle an das SPH-PaedNet-System angeschlossenen Rechner schreibenden, lesenden und ändernden Zugriff.
• Auf das Schulvorlagenlaufwerk kann von Lernendenrechnern aus lesend zugegriffen werden. Die Lehrkräfterechner haben ändernden Zugriff.

• Auf die beiden Lehrkräftelaufwerke haben Lehrkräfterechner innerhalb der PaedNet-Umgebung ändernden Zugriff.
• Sie dienen der Ablage von Informationen innerhalb des Kollegiums.
• Das Tauschlaufwerk ist für kurzfristigen Informationsaustausch und das Vorlagenlaufwerk für längerfristige Informationen gedacht.
• Lernendenrechner haben keinen Zugriff.

• Die Lehrkraft kann an seinem Rechner alle anonymen Home-Laufwerke über den Laufwerksbuchstaben W: erreichen.

6. Active Directory

Jeder Domänencontroller besitzt ein Active Directory (AD). Das Active Directory ist eine Datenbank, die Informationen über PCs und User einer Windowsdomäne enthält.

Während des Installationsvorgangs führt SPH-PaedNet alle für seinen Betrieb notwendigen Ergänzungen im AD selbstständig durch. Die Basisstrukturen des AD bleiben dabei unangetastet. 
Bei der Einrichtung werden mehrere Organisationseinheiten (OUs) angelegt, diese dienen der Strukturierung des AD, ähnlich Ordnern im Dateisystem.

• Für jeden Raum, den Sie bei der Installation anlegen, entstehen zwei (bis drei) OUs.
  • Wenn es sich um einen normalen Raum handelt, werden die Raum-OUs in LANiS angelegt.
  • Unter LANiSRaumname (z.B. C01) werden alle anonymen User eines Raumes angelegt.
  • Eine OU LANiSRaumnameTest (z.B. C01Test) entsteht nur, wenn Sie festlegen, dass in diesem Raum Klassenarbeiten geschrieben werden. Sie enthält die anonymen User für das Klausur- und Testmodul.
  • Unter der OU LANiSComputer wird eine neue OU für jeden Raum erstellt.
  • Für mobile Endgeräte werden analog die OUs LANiS-Mobil-Benutzer und LANiS-Mobil-Computer angelegt.
• Für alle Nutzenden, die Klassen und Stufen wird die OU "Nutzende" unterhalb der OU "SPH-PaedNet" angelegt.

7. Dateizugriffe

SPH-PaedNet setzt bei der Speicherung der Daten zwei verschiedene Techniken ein, die verschiedene Übertragungsprotokolle verwenden.

• "LDAP"-Verbindung (Soll-Zustand: blaue Schrift im Schülermodul)
  • Standardmäßig versucht das Schülermodul bei einer Anmeldung zunächst eine Verbindung mit dem Homelaufwerk der Lernenden aufzubauen, die PaedNet-intern als "LDAP-Verbindung" bezeichnet wird.
  • Dabei melden sich die Lernenden mit dem in der Active Directory-OU "SPH-PaedNet / Nutzende" angelegten personalisierten Windows-Account an seinem Ordner an.
    
• "FTP"-Verbindung (rote Schrift im Schülermodul)
  
  • Scheitert die vorherige Verbindungstechnik, so greift als Fall-Back-Variante eine FTP-Verbindung.
  • Dabei greift die auf dem Client installierte WebDrive-Software auf den FTP-Server des Domänencontrollers zu und baut darüber eine Verbindung zum Datenordner des Users auf.
    
    
• Schulfremde Geräte lassen sich (mit dem bei SPH-PaedNet mitgelieferten Modul WebDrive) leicht per FTP ins PaedNet-System integrieren, so dass die Benutzer Zugriff zu ihren Homeverzeichnissen, den Tauschlaufwerken etc. erhalten.
  Solche externen Geräte müssen dafür nicht in die Windows-Domäne integriert werden. 

8. Clientsteuerung

• Schulweite Steuerung
  • Der Schulserver auf dem SPH-PaedNet installiert ist, kann alle angebundenen Clients in allen Räumen steuern.
  • So kann z.B. die Softwareverteilung auf allen Clients gesteuert werden.
• Raumweite Steuerung
  • Nur in einem klassischer Computerraum möglich, mit einem Lehrkräfte- und mind. einem Lernendenclient.
  • Nur der Rechner der Lehrkräfte hat hier steuernde Funktionalitäten und kann die Rechner der Lernenden steuern und reglementieren.
  • Z.B.: Rechner C01PC00 kann alle Rechner reglementieren, deren Namen mit C01PC beginnen. Auf Rechner, die einem anderen Raum zugeordnet wurden, hat er keinen Zugriff.
    (Ausnahme: Dateneinsicht und -verteilung auch in die Raumtausch-Ordner der anderen PaedNet-Räume).
• Bei den Druckern verhält es sich etwas anders:
  Vom Rechner der Lehrkräfte können alle in dem jeweiligen Raum eingerichteten Drucker überwacht werden.
  Ist ein Drucker auf zwei Rechner der Lehrenden eingerichtet, können ihn beide steuern.

9. Login-Skripte

SPH-PaedNet generiert bei der Installation ein Skript (PaedNet_User.bat), das bei der Anmeldung am Rechner abgearbeitet wird. Das Skript stellt unter anderem die Verbindung zu den unter Kapitel 6 vorgestellten Laufwerken her. 

Bei Bedarf können neue schulbezogene Skripte erstellt werden, wie in "Erweiterungsmöglichkeit des Logonscripts [ID 1398]".

10. Port-Blockade für Internet-Sperrung

Wird in SPH-PaedNet die Sperrung des Internets für einen Schülerrechner aktiviert, werden auf diesem Rechner verschiedene Kommunikations-Ports blockiert. Dabei handelt es sich um die Ports 443, 80, 8080, 3128 TCP. Dies führt dazu, dass der Client nicht mehr in der Lage ist, mit dem Internet zu kommunizieren. Chatclients sind von dieser Sperrung nicht betroffen.

Ist die Konfiguration des Internetzugangs im Schulnetzwerk stark abweichend vom Standard, kann eine Anpassung der Firewallprofile notwendig sein.

11. Sinnvolle Ergänzungen

Das SPH-PaedNet vereint alle Aspekte eines sicheren Betriebs von Clientrechnern in der Schule und kann sinnvoll durch weitere Komponenten ergänzt werden. Dabei handelt es sich insbesondere um:

• Software-/Hardware Protektor-Lösungen:
  SPH-PaedNet beinhaltet einen eigenen Festplattenschutz von Microsoft (UWF = Unified Write Filter), alternative Systeme wie (Dr. Kaiser, PC-Sheriff, HD-Guard,…) können jedoch integriert werden.

• Virenschutzsoftware:
  Zwar sind heutzutage alle Windows-Rechner standardmäßig mit dem Windows-Defender ausgestattet, der vom Server aus gesteuert werden kann, alternative Systeme wie GData, Avira, Norton, Sophos usw. können jedoch dessen Aufgaben übernehmen.

• Anbindung externer Systeme für z.B. Internetfilter und WLAN:
  SPH-PaedNet kann sehr leicht per LDAP mit externen Systemen von kommerziellen Anbietern (wie z.B. Filterlösungen von Time for Kids, IPFire, PaloAlto...) verbunden werden.

-------------------------------------------------

Zurückführende Links

Zurück zum Leitdokument "SPH-PaedNet Übersicht [ID 900]"

Zuletzt bearbeitet: 04.12.25 - SF