Technische Grundlagen und Konzepte von SPH-PaedNet [ID 267]
Inhalte dieses Artikels
- Was bietet SPH-PaedNet?
- Sinnvolle Ergänzungen
- Installationsvoraussetzungen
- Installationskomponenten
- Benutzerverwaltung
- Laufwerke
- Ergänzungen im Active Directory
- Login-Skripte
- Dateizugriffe
- Raumsteuerung
- Port-Blockade für die Internet-Sperrung
1. Was bietet SPH-PaedNet?
Innerhalb eines Schulnetzes können drei Benutzergruppen unterschieden werden, die unterschiedliche Bedürfnisse haben und verschiedene Anforderungen an eine Netzwerklösung stellen:
Admin(s)
-
SPH-PaedNet beinhaltet eine leicht zu erlernende Userverwaltung. (Nur SPH-PaedNet <10, ab SPH-PaedNet 10 werden die Nutzenden über das Schulportal verwaltet)
Durch Import und Abgleich mit LUSD Userlisten können die Benutzerkonten innerhalb weniger Minuten eingerichtet oder auf den neuesten Stand gebracht werden. -
Durch umfangreiche Protokollierung können die Admin(s) nachvollziehen, wer sich wann an welchem System angemeldet hat und (je nach Konfiguration) wer wann welche Datei kopiert bzw. erstellt hat.
-
Bei der Installation der Clients wird dort ein Remote-Control-Modul installiert, das den Admin(s) Fernzugriff auf alle Rechner ermöglicht.
-
Um elementare Einstellungen, wie z.B. Druckerzuordnungen, bei den Clientrechnern vorzunehmen, können die Admin(s) über Gruppenrichtlinien die Druckersteuerung innerhalb der Computerräume konfigurieren.
Lehrkräfte
- Innerhalb der Rechnerräume können Lehrkräfte wichtige Funktionen der Clients kontrollieren. So ist es beispielsweise möglich, das Internet oder die Bildschirme zu sperren und Drucker zu kontrollieren.
-
Auf ihre persönlichen Datenverzeichnisse können die Lehrenden von allen an das PaedNet-System angeschlossenen Rechnern zugreifen.
-
Lehrenden wird eine einfache Möglichkeit geboten, Klassen und Kurse digital zu verwalten.
- Dateien können an Lernende verteilt und später wieder eingesammelt werden.
-
Klassenarbeits-/ bzw. Klausursituationen sind mit wenigen Klicks eingerichtet und ermöglichen ein sicheres Schreiben von Leistungsnachweisen am Rechner.
Lernende
-
Lernende erhalten in SPH-PaedNet ein eigenes Datenlaufwerk, das sie ebenfalls von allen Rechnern innerhalb des Netzes erreichen können.
-
Nutzen mehrere Lernende einen PC gemeinsam, können sie ohne komplizierte Ummeldung parallel auf ihre jeweils eigenen Daten zugreifen.
2. Sinnvolle Ergänzungen
Das SPH-PaedNet vereint alle Aspekte eines sicheren Betriebs von Clientrechnern in der Schule und kann sinnvoll durch weitere Komponenten ergänzt werden. Dabei handelt es sich insbesondere um:
-
Software-/Hardware-Protektorlösungen:
SPH-PaedNet beinhaltet einen eigenen Festplattenschutz von Microsoft (UWF = Unified Write Filter), alternative Systeme wie (Dr. Kaiser, PC-Sheriff, HD-Guard,…) können jedoch integriert werden. -
Virenschutzsoftware:
Zwar sind heutzutage alle Windows-Rechner standardmäßig mit dem Windows-Defender ausgestattet, der vom Server aus gesteuert werden kann, alternative Systeme wie GData, Avira, Norton, Sophos usw. können jedoch dessen Aufgaben übernehmen. - Anbindung externer Systeme für z.B. Internetfilter und WLAN:
SPH-PaedNet kann sehr leicht per LDAP mit externen Systemen von kommerziellen Anbietern (wie z.B. Filterlösungen von Time for Kids, IPFire, PaloAlto...) verbunden werden.
3. Installationsvoraussetzungen
Um SPH-PaedNet einsetzen zu können, müssen bestimmte Voraussetzungen innerhalb des Schulnetzes erfüllt sein.
-
Im Schulnetzwerk muss eine Windows 2019-Domäne oder höher eingerichtet sein. (Neuinstallationen)
-
Die Clients müssen über Windows 11 (empfohlen) oder Windows 10 (Supportende 14.10.2025) jeweils als 64-Bit-Version in der Variante EDU oder Enterprise verfügen. Windows PRO wird unterstützt jedoch ohne integrierten Festplattenschutz. Andere Betriebssysteme werden nicht unterstützt.
-
Die Clients müssen PaedNet-konforme Rechnernamen haben. Ein PaedNet-konformer Rechnername beginnt mit der Raumnummer, gefolgt von der Bezeichnung PC und einer zweistelligen Zahl.
Ein Rechner des Raumes P409 könnte beispielsweise den Namen P409PC01 haben.-
Die Nummerierung sollte durchgängig sein und mit 01 beginnen (P409PC01, P409PC02 usw.).
-
Enthält der Raum einen Lehrkräfterechner (z.B. Computerraum), muss dieser die Zahl 00 am Ende bekommen, also z.B. P409PC00. Dieser erhält dadurch Steuerungsmöglichkeiten für alle anderen Rechner. Es kann in diesem Raum nur einen Lehrkräfterechner geben.
-
Ab SPH-PaedNet 10.0 kann ein eigenständiger Lehrerarbeitsraum eingerichtet werden. Achten Sie darauf, dass es in diesem Raum keinen PC mit Zahl 00 am Ende gibt.
-
4. Installationskomponenten
Abbildung 1: PaedNet-Komponenten
Jede der Installationskomponenten erfüllt eine andere Aufgabe.
-
Der Domänencontroller verwaltet die sogenannten „anonymen Windows-Benutzer“, die jedem PaedNet-Rechner zugeordnet sind. Auf einem Rechner mit dem Namen P409PC01 kann sich beispielsweise nur der "anonyme Windows-Benutzer" mit dem Namen P409U01 anmelden. Die allgemeinen Tausch- und Vorlagenverzeichnisse dienen dem Datenaustausch außerhalb der persönlichen Laufwerke.
Die entsprechende Einrichtung wird durch das Programm Setup und dem Dienst PaedNet-Controller vorgenommen. -
Der FTPS-Server (FTP-Server mit Secure Sockets Layer-Protokoll) verwaltet die personalisierten Benutzerkonten und die Datenbestände von Lehrenden, Lernenden und anderen Benutzern innerhalb des SPH-PaedNet-Systems. Er ist damit das Herz des Systems. Der FTPS-Server kann separat oder auf dem Domänencontroller installiert werden. Die Installation erfolgt über das Programm SetupFTP. FTP ist ein Protokoll für den Dateiaustausch zwischen zwei Rechnern. Es wird häufig im Internet eingesetzt, um Dateien auf eine Homepage zu laden.
-
PCs von Lernenden und Lehrkräften werden durch das Programm Clientupdate in das SPH-PaedNet-System integriert. Bei dieser Einrichtung werden verschiedene Module und Tools installiert, welche für die reibungslose Funktionalität notwendig sind.
5. Benutzerverwaltung
Abb. 2: Benutzerverwaltung
Die Benutzerverwaltung in SPH-PaedNet ist zweigeteilt:
-
Anonyme Benutzerkonten:
Werden auf dem Windows-Server im Active Directory automatisch bei der Einrichtung eines PaedNet-Raumes erstellt. Für jeden eingebundenen PC wird ein eigener Windows-Account erstellt. Der Name dieses Kontos richtet sich nach dem Rechnernamen. Für den PC "P409PC01" wird der User "P409U01" angelegt. Nur genau dieser User kann sich später an diesem PC anmelden. Diesen anonymen Benutzern sind Zugriffsrechte innerhalb der Windowsdomäne zugeordnet.
-
Personalisierte PaedNet-Userkonten:
Diese werden über den PaedNet-Controller vom Schulportal synchronisiert. Die Verwaltung (Neuanlage/ Bearbeiten/ Löschen) ist nur über das Schulportal möglich. Passwortänderungen sind in PaedNet und im Schulportal möglich.
Diese werden über die in PaedNet integrierte Userverwaltung administriert und sind nicht an einen bestimmten PC gebunden (Nur für SPH-PaedNet <10).
6. Laufwerke
SPH-PaedNet stellt eine Vielzahl von Netzwerklaufwerken zur Verfügung. Diese Laufwerke haben verschiedene Funktionen.
- Laufwerk H (rechnerbezogenes, „anonymes“ Home-Laufwerk)
Auf das rechnerbezogene Home-Laufwerk haben nur der anonyme User (s.o.) des jeweiligen Rechners, also P409U01 am Computer P409PC01, und die Lehrkräfterechner Zugriff. Die Inhalte können von jedem User, der an diesem PC arbeitet, eingesehen und verändert werden. - Laufwerk R (Raumtausch)
Auf das Raumtausch-Laufwerk haben alle Rechner eines in SPH-PaedNet angelegten Raumes Zugriff. Es gibt für jeden Raum ein eigenes Raumtauschlaufwerk.
Ein PaedNet-Raum ist eine organisatorische und keine räumliche Einheit. Es können auch Computer unterschiedlicher Standorte zu einem PaedNet-Raum zusammengefasst werden (z.B. alle digitalen Tafeln einer Schule), bzw. Rechner eines physischen Raums unterschiedlichen PaedNet-Räumen zugeordnet sein.
Jeder PaedNet-Nutzer kann im Raumtausch-Laufwerk Dateien und Ordner anlegen, verändern, lesen und löschen. Rechner eines Raumes sind alle Rechner, die die gleiche Raumbezeichnung im Rechnernamen tragen, beispielsweise P409 bei den Rechnern P409PC01, P409PC02 usw. - Laufwerk S (Schultausch)
Das Schultauschlaufwerk funktioniert genauso wie das Raumtauschlaufwerk. Allerdings haben auf das Schultauschlaufwerk alle an das SPH-PaedNet-System angeschlossenen Rechner schreibenden, lesenden und ändernden Zugriff. - Laufwerk T (Schulvorlagen)
Auf das Schulvorlagenlaufwerk kann von Lernendenrechnern aus lesend zugegriffen werden. Die Lehrkräfterechner haben ändernden Zugriff. - Laufwerk U (Lehrkräftetausch) und Laufwerk V (Lehrkräftevorlagen)
Auf die beiden Lehrkräftelaufwerke haben Lehrkräfterechner innerhalb der PaedNet-Umgebung ändernden Zugriff. Sie dienen der Ablage von Informationen innerhalb des Kollegiums. Das Tauschlaufwerk ist für kurzfristigen Informationsaustausch und das Vorlagenlaufwerk für längerfristige Informationen gedacht. Lernendenrechner haben keinen Zugriff. - Laufwerk W (Übersicht der Home-Laufwerke)
Die Lehrkraft kann an seinem Rechner alle anonymen Home-Laufwerke über den Laufwerksbuchstaben W: erreichen.
7. Ergänzungen im Active Directory
Jeder Domänencontroller besitzt ein Active Directory (AD). Das Active Directory ist eine Datenbank, die Informationen über PCs und User einer Windowsdomäne enthält.
Während des Installationsvorgangs führt SPH-PaedNet alle für seinen Betrieb notwendigen Ergänzungen im AD selbstständig durch. Die Basisstrukturen des AD bleiben dabei unangetastet.
Bei der Einrichtung werden mehrere Organisationseinheiten (OUs) angelegt, diese dienen der Strukturierung des AD, ähnlich Ordnern im Dateisystem.
- Für alle Nutzenden, die Klassen und Stufen wird die OU "Nutzende" unterhalb der OU "SPH-PaedNet" angelegt.
- Für jeden Raum, den Sie bei der Installation anlegen, entstehen zwei (bis drei) OUs.
- Wenn es sich um einen normalen Raum handelt, werden die Raum-OUs in LANiS angelegt.
- Unter LANiS\Raumname (z.B. C01) werden alle anonymen User eines Raumes angelegt.
- Unter der OU LANiSComputer wird eine neue OU für jeden Raum erstellt.
- Eine OU LANiS\RaumnameTest (z.B. C01Test) entsteht nur, wenn Sie festlegen, dass in diesem Raum Klassenarbeiten geschrieben werden. Sie enthält die anonymen User für den Klassenarbeits-/Klausurmodus.
Abb. 3: Active Directory
8. Login-Skripte
SPH-PaedNet generiert bei der Installation ein Script (PaedNet_User.bat), das bei der Anmeldung am Rechner abgearbeitet wird. Das Script stellt unter anderem die Verbindung zu den unter Kapitel 6 vorgestellten Laufwerken her.
Bei Bedarf können neue schulbezogene Scripte erstellt werden. → ID 1398
9. Dateizugriffe
SPH-PaedNet setzt bei der Speicherung der Daten drei verschiedene Techniken ein, die zwei verschiedene Übertragungsprotokolle verwenden.
- "LDAP"-Verbindung (Soll-Zustand: blaue Schrift)
- Standardmäßig versucht das Schülermodul bei einer Anmeldung zunächst eine Verbindung mit dem Homelaufwerk der Lernenden aufzubauen, die PaedNet-intern als "LDAP-Verbindung" bezeichnet wird. Dabei melden sich die Lernenden mit dem in der Active Directory-OU "LDAP" angelegten personalisierten Windows-Account an seinem Ordner an:
Abb. 5: Rechte auf Lernenden- und Lehrkräfteordnern bei "LDAP"-Verbindung - Ist diese Technik erfolgreich, resultiert dies in einem blauen Schriftzug auf den Buttons des Schülermoduls.
Abb. 5: "LDAP"-Verbindung
- Standardmäßig versucht das Schülermodul bei einer Anmeldung zunächst eine Verbindung mit dem Homelaufwerk der Lernenden aufzubauen, die PaedNet-intern als "LDAP-Verbindung" bezeichnet wird. Dabei melden sich die Lernenden mit dem in der Active Directory-OU "LDAP" angelegten personalisierten Windows-Account an seinem Ordner an:
- "SMB"-Verbindung (grüne Schrift) -> entfällt ab SPH-PaedNet 10
- Ist LDAP Verbindung nicht erfolgreich, verwendet das SPH-PaedNet die erste Fall-Back-Variante, die PaedNet-intern als "SMB-Verbindung" bezeichnet wird: Es wird "On-the-Fly" der "anonyme User" des Rechners auf den Ordner des Users gesetzt, an dem der/die Lernende sitzt:
- Ist LDAP Verbindung nicht erfolgreich, verwendet das SPH-PaedNet die erste Fall-Back-Variante, die PaedNet-intern als "SMB-Verbindung" bezeichnet wird: Es wird "On-the-Fly" der "anonyme User" des Rechners auf den Ordner des Users gesetzt, an dem der/die Lernende sitzt: