UCS@school - Handbuch für Administratoren

PDF herunterladen

Erweiterte Konfiguration

5. Erweiterte Konfiguration#

5.1. Einrichtung der Druckmoderation#

Um unnötige oder fehlerhafte Druckaufträge zu minimieren, bietet UCS@school den Lehrern die Möglichkeit, Druckaufträge zu moderieren. Dafür werden die Druckaufträge zunächst über einen speziellen PDF-Drucker (Druckerfreigabe PDFDrucker) auf dem Schüler-/Lehrerrechner gedruckt und anschließend durch den Lehrer im UMC-Modul Drucker moderieren betrachtet, verworfen oder für den Druck freigegeben.

In UCS@school gibt es vielfältige Möglichkeiten, die Druckmoderation zu konfigurieren und einzusetzen. Nachfolgend wird die Einrichtung eines einzelnen Szenarios beschrieben, welches leicht an die Bedürfnisse der eigenen Schulumgebung angepasst werden kann. In dem beschriebenen Szenario wird der Zugriff auf die physikalischen Drucker für alle Schüler gesperrt.

Für die Druckmoderation ist es erforderlich, dass zunächst wie in Konfiguration von Druckern an der Schule beschrieben, Druckerfreigaben für die zu verwendenden, physikalisch existierenden Drucker angelegt werden.

An den Druckerfreigabeobjekten im UMC-Modul Drucker können spezielle Zugriffsrechte gesetzt werden. Dabei kann der Zugriff für einzelne Benutzer oder ganze Gruppen erlaubt bzw. gesperrt werden. Um den Schülern den Zugriff auf die physikalischen Drucker zu verbieten, muss an den Druckerfreigaben für diese Drucker der Zugriff durch Benutzer der OU-spezifischen Gruppe schueler-OU (z.B. schueler-gsmitte) verboten werden. Für den PDF-Drucker PDFDrucker sollten keine Einschränkungen gemacht werden.

Schüler haben damit nur noch die Möglichkeit Druckaufträge an den PDFDrucker zu senden. Im UMC-Modul Drucker moderieren können die Druckaufträge anschließend durch den Lehrer aufgelistet und in Form einer PDF-Datei betrachtet werden. Dafür ist ein geeignetes Programm zur Anzeige von PDF-Dateien auf den Lehrerrechnern erforderlich. Die Druckaufträge können dann durch den Lehrer an einen beliebigen physikalischen Drucker der Schule weitergeleitet oder auch verworfen werden.

Lehrer können in dem UMC-Modul grundsätzlich nur die Druckaufträge der Schüler oder ihre eigenen Druckaufträge betrachten. Druckaufträge von anderen Lehrern werden von dem UMC-Modul nicht angezeigt.

Um Ausnahmen von dieser strikte Regelung zu ermöglichen, kann der Lehrer im UMC-Modul Computerraum über den Punkt Einstellungen ändern den Druckmodus für einen einzelnen Computerraum beeinflussen. Die oben beschriebenen Einschränkungen für Schüler werden dabei als Standard (globale Einstellungen) beschrieben. Darüber hinaus kann auch der Druckmodus Drucken deaktiviert ausgewählt werden, der das Drucken von den Rechnern des Computerraums vollständig untersagt.

5.1.1. Anlegen eines PDF-Druckers für die Druckermoderation#

Druckerfreigaben werden, wie in einer Standard-UCS-Installation, über das UMC-Modul Drucker auf dem Primary Directory Node angelegt. Weiterführende Dokumentation findet sich in Druckdienste in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2].

Die Drucker müssen unterhalb der OU der Schule angelegt werden. Die Auswahl findet mit der Option Container beim Anlegen eines Drucker statt. Bei der OU gym17 muss beispielsweise gym17/printers ausgewählt werden.

Für die Verwendung der Druckermoderation muss ein PDF-Drucker unterhalb der OU der Schule angelegt werden. Dies geschieht in der Regel automatisch bei der Installation von UCS@school bzw. dem Ausführen der Join-Skripte.

Sollte der PDF-Drucker für eine OU fehlen, gibt es zwei Möglichkeiten dieses für eine OU zu erstellen:

  • Auf dem Schulserver kann über das UMC-Modul Domänenbeitritt das Join-Skript 99ucs-school-umc-printermoderation (erneut) ausgeführt werden.

  • Alternativ kann das LDAP-Objekt im zuständigen Container für Druckerfreigaben der betreffenden OU (siehe oben) angelegt werden. Dabei müssen folgende Werte am Druckerfreigabe-Objekt gesetzt werden:

    Server

    Name des Schulservers

    Protokoll

    cups-pdf:/

    Ziel

    leer

    Drucker-Hersteller

    PDF

    Drucker-Modell

    Generic CUPS-PDF Printer

5.2. Windows-spezifische Benutzereinstellungen#

Neben den in Verwaltung einzelner Benutzerkonten und Pflege von Benutzerkonten für Schüler, Lehrer und Mitarbeiter genannten Attributen für Benutzer werden beim Anlegen eines Benutzers auch automatisch einige Windows-spezifische Einstellungen vorgenommen:

  • Für die Verwendung von Samba ist es notwendig, dass für jeden Benutzer ein UNC-Pfad für das Windows-Benutzerprofil vorgegeben wird. In der Standardeinstellung von UCS@school wird der jeweilige Logonserver als Ablageort für das Benutzerprofil definiert (%LOGONSERVER%\%USERNAME%\windows-profiles\default).

    Falls die Benutzerprofile statt auf dem Logonserver auf einem anderen Dateiserver gespeichert werden sollen, kann in der Univention Management Console am Rechnerobjekt des gewünschten Dateiservers der Dienst Windows Profile Server gesetzt werden. Es wird dann ein UNC-Pfad nach dem Schema \\DATEISERVERNAME\%USERNAME%\windows-profiles\default am Benutzerobjekt gespeichert.

    Bemerkung

    Falls ein alternativer Dateiserver für den Benutzerprofilpfad verwendet werden soll, muss das entsprechende Rechnerobjekt unterhalb der Schul-OU im LDAP-Verzeichnisdienst liegen.

    Für den reibungslosen Betrieb darf der Dienst Windows Profile Server nur an einem Dateiserver pro OU gesetzt werden.

    Weiterhin ist der Dienst Windows Profile Server veraltet und wird in einer zukünftigen UCS@school-Version entfernt bzw. durch einen äquivalenten Mechanismus ersetzt.

  • Darüber hinaus wird auch automatisch der Pfad zum Heimatverzeichnis des Benutzers gesetzt. In einer Single-Server-Umgebung wird automatisch der Primary Directory Node als Dateiserver eingetragen. In Multi-Server-Umgebungen ist der für die OU zuständige Dateiserver am Schul-OU-Objekt hinterlegt.

    Um diesen zu ändern, muss in der Univention Management Console das OU-Objekt geöffnet werden und auf dem Reiter UCS@school im Auswahlfeld Server für Windows-Heimatverzeichnisse ein geeigneter Dateiserver ausgewählt werden (siehe auch Bearbeiten von Schulen). Der dort definierte Dateiserver wird beim Anlegen eines Benutzers ausgelesen und der UNC-Pfad am Benutzerobjekt entsprechend gesetzt (Beispiel: \\server3.example.com\benutzer123).

Bemerkung

Die Windows-spezifischen Einstellungen werden nur beim Anlegen eines Benutzers gesetzt und am Benutzerobjekt gespeichert.

Ein nachträgliches Modifizieren des Benutzers über die Importskripte hat keinen Einfluss auf diese Einstellungen. Änderungen müssen manuell z.B. über das UMC-Modul Benutzer erfolgen.

5.3. Anlegen von Freigaben#

Die meisten Freigaben in einer UCS@school-Umgebung werden automatisch erstellt. Jede Klasse oder Arbeitsgemeinschaft verfügt über eine gemeinsame Freigabe. Weiterhin existiert mit der Marktplatz-Freigabe je Schule eine schulweite Freigabe. Das Erstellen der Marktplatzfreigabe beim Anlegen einer OU kann durch das Setzen der Univention Configuration Registry Variable ucsschool/import/generate/marktplatz auf den Wert no verhindert werden.

Diese Freigaben müssen zwingend auf dem Schulserver bereitgestellt werden, um die von UCS@school bereitgestellten Funktionen nutzen zu können.

Weitere Freigaben werden, wie in einer Standard-UCS-Installation, über das UMC-Modul Freigaben auf dem Primary Directory Node angelegt. Weiterführende Dokumentation findet sich in Verwaltung von Freigaben in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2].

Die Freigaben müssen unterhalb der OU der Schule angelegt werden. Die Auswahl findet mit der Option Container beim Anlegen einer Freigabe statt. Für die OU gym17 muss beispielsweise der Container gym17/shares ausgewählt werden.

Neu in Version 4.1: R2 v5

Seit UCS@school 4.1 R2 v5 werden neue Freigaben (sowohl automatisch, als auch manuell erstellte) standardmäßig nur noch per Samba/CIFS freigegeben. Um neue Freigaben standardmäßig auch per NFS zu exportieren, muss die Univention Configuration Registry Variable ucsschool/default/share/nfs auf allen UCS@school-Systemen auf den Wert yes gesetzt werden.

Um den NFS-Export einer Freigabe manuell ein- oder auszuschalten, kann im UMC-Modul Freigaben für jede Freigabe die Option Für NFS-Clients exportieren (NFSv3 und NFSv4) (de)aktiviert werden.

5.4. Lehrerzugriff auf Benutzerfreigaben#

Lehrern kann der Zugriff auf alle Heimatverzeichnisse von Schülern an einer Schule freigeschaltet werden. Dies geschieht durch Installation des Pakets ucs-school-roleshares auf dem jeweiligen Schulserver. Der Zugriff kann dann über eine spezielle Dateifreigabe erfolgen.

Das Paket installiert das Skript /usr/share/ucs-school-import/scripts/create_roleshares, welches über das Join-Skript automatisch aufgerufen wird und später auch manuell aufgerufen werden kann. Mit der Standardoption --create student aufgerufen, legt es für alle Dateiserver des Schulstandorts jeweils eine Freigabe mit dem Namensschema schueler-OU an. Die Freigabe erlaubt der Gruppe lehrer-OU den administrativen Zugriff auf das Basisverzeichnis /home/OU/schueler.

Per Voreinstellung wird der Lehrergruppe Lesezugriff gewährt. Die Freigabe wird vom jeweiligen Dateiserver nicht explizit angezeigt. Eine an einem Windows-Arbeitsplatz angemeldete Lehrkraft sollte automatisch eine Verknüpfung zu dieser Freigabe angezeigt bekommen.

Die Freigabe-Einstellungen dieser Freigabe können wie üblich über die Univention Management Console auf dem Primary Directory Node angepasst werden, z.B. um Lehrern auch Schreibzugriff zu gewähren.

Voraussetzung für diese Funktion ist, dass die Heimatverzeichnisse der Benutzerkonten in entsprechend strukturierten Unterverzeichnissen angelegt wurden. Dies geschieht in Domänen die mit UCS@school 3.2 R2 oder später installiert wurden automatisch. In älteren Umgebungen wird dies dadurch verhindert, dass dort Univention Configuration Registry Variable ucsschool/import/roleshare automatisch auf no gesetzt wurde. Dies gewährleistet eine einheitliche Anlage der Heimatverzeichnisse und sollte erst nach einer manuellen Migration der Heimatverzeichnisse geändert werden.

5.5. Anlegen von Benutzerkonten für Schuladministratoren#

Ab UCS@school 4.4 v8 können Benutzerkonten für Schuladministratoren direkt über das UCS@school UMC-Modul angelegt werden. Diese Option ist standardmäßig abgeschaltet. Um das Verhalten zu aktivieren, muss der Wert schoolAdmin aus der Univention Configuration Registry Variable ucsschool/wizards/schoolwizards/users/roles/disabled entfernt werden. Schuladministratoren, die mit dem UCS@school UMC-Modul erstellt werden, besitzen nicht die Option UCS@school-Lehrer und befinden sich nicht in der Gruppe lehrer-OU.

Benutzerkonten von Lehrern können durch eine zusätzliche Gruppenmitgliedschaft und das Einschalten einer Option zu Schuladministratoren umgewandelt werden.

  • Die zusätzliche Gruppenmitgliedschaft muss manuell über das Univention Management Console-Modul Benutzer auf dem Primary Directory Node hinzugefügt werden. Auf dem Reiter Gruppen muss das Benutzerkonto in die Gruppe admins-OU (für die OU gym17 ist dies die Gruppe admins-gym17) aufgenommen werden.

  • Im Univention Management Console-Modul Benutzer muss außerdem im Reiter Optionen die Option UCS@school-Administrator eingeschaltet werden.

Warnung

Es ist nicht möglich, ein Benutzerkonto einzurichten, das mit der Rolle Schuladministrator an einer Schule und mit der Rolle Lehrer an einer anderen Schule agiert.

Ein Benutzerkonto mit der Option UCS@school-Administrator verfügt standardmäßig über einige Schuladministrator-Berechtigungen für alle Schulen, an denen es Mitglied ist. Das gilt auch, wenn das Benutzerkonto kein Mitglied der Gruppe admins-OU für die jeweilige Schule ist. Die Gruppenmitgliedschaft des Benutzerkontos in admins-OU fügt für die jeweilige Schule weitere Schuladministrator-Berechtigungen hinzu.

Ein Benutzerkonto mit aktivierter UCS@school-Administrator-Option muss für alle Schulen, in denen das Benutzerkonto Mitglied ist, auch zu den Gruppen admins-OU hinzugefügt werden. Auf diese Weise finden Schuladministratoren an allen Schulen das gleiche, konsistente Verhalten für administrative Tätigkeiten im Rahmen ihrer Schuladministrator-Berechtigungen vor. Systemadministratoren erkennen besser, welche Benutzerkonten die Schuladministrator-Berechtigung haben.

Fungiert das Benutzerkonto nicht mehr als Lehrer, sondern nur noch als Schuladministrator, so kann im Reiter Optionen die Option UCS@school-Lehrer deaktiviert und dem Benutzer die Gruppe lehrer-OU entzogen werden.

Soll ein Schuladministrator auch als Lehrer tätig sein, muss zusätzlich die Gruppe lehrer-OU, also z.B. lehrer-gym17, hinzugefügt werden. Abschließend müssen die Angaben für Profilpfad und Heimatverzeichnispfad am Benutzerobjekt gesetzt werden, um das gleiche Verhalten wie bei Schüler- und Lehrerkonten zu erhalten (siehe dazu auch Windows-spezifische Benutzereinstellungen).

5.6. Konfiguration der Helpdesk-Kontaktadresse#

Über das Helpdesk-Modul können Lehrer per E-Mail Kontakt zum Helpdesk-Team einer Schule aufnehmen. Damit dieses Modul genutzt werden kann, muss auf dem jeweiligen Server die Univention Configuration Registry Variable ucsschool/helpdesk/recipient auf die E-Mailadresse des zuständigen Helpdesk-Teams gesetzt werden.

5.7. Konfiguration des Computerraum-Moduls#

Im UMC-Modul Computerraum kann z.B. über die Funktion Beobachten eine verkleinerte Desktop-Ansicht der aufgelisteten Windows-Rechner angezeigt werden. Dabei ist es möglich, die Desktops bestimmter Benutzergruppen von dieser Anzeige auszuschließen. In der Standardkonfiguration ist dies die Gruppe Domain Admins.

Über die Univention Configuration Registry-Variable ucsschool/umc/computerroom/hide_screenshots/groups kann eine abweichende kommaseparierte Liste mit Gruppennamen konfiguriert werden, z.B. Domain Admins,Helpdesk. Da UCS@school für jede Schule für die dort agierenden Lehrer eine eigene Benutzergruppe anlegt, wurde zur Vereinfachung eine weitere Univention Configuration Registry-Variable ucsschool/umc/computerroom/hide_screenshots/teachers eingeführt. Wird in dieser Variable der Wert true hinterlegt, ist das Betrachten der Desktop-Ansicht von Rechnern, an denen Lehrer angemeldet sind, nicht mehr möglich.

Über die Aktion Computer einschalten können WakeOnLAN-Pakete an die betreffenden Rechner verschickt werden, um diese einzuschalten. Ab UCS@school 4.4v4 werden diese WakeOnLAN-Pakete über alle Netzwerkschnittstellen des UCS@school-Systems verschickt.

Falls die Pakete auf bestimmten Netzwerkschnittstellen nicht verschickt werden sollen, können diese Schnittstellen über die UCR-Variablen ucsschool/umc/computerroom/wakeonlan/blacklisted/interfaces und ucsschool/umc/computerroom/wakeonlan/blacklisted/interface_prefixes festgelegt werden. Dabei sind die einzelnen Werte durch Leerzeichen zu trennen, z.B. tun docker. Wenn sich die Zielrechner in einem anderen Netzwerk befinden, können über die UCR-Variable ucsschool/umc/computerroom/wakeonlan/target_nets die Subnetze angepasst werden, an die Pakete gesendet werden. Dabei sind die einzelnen Werte durch Leerzeichen zu trennen, z.B. 255.255.255.255 10.200.18.255.

Neu in Version 4.4: v4

Ab Version 4.4 v4 prüft das Computerraum-Modul von UCS@school in der Standardeinstellung regelmäßig, ob alle gesperrten Rechner weiterhin noch gesperrt sind, um z.B. Rechner nach deren Neustart wieder in den gesperrten Zustand zu versetzen. Das Intervall, in dem die Überprüfung läuft, kann durch die Univention Configuration Registry-Variable ucsschool/umc/computerroom/screenlock/interval konfiguriert werden. In der Standardkonfiguration wird die Prüfung alle 5 Sekunden durchgeführt. Wird der Wert der Variable auf 0 gesetzt, wird die Prüfung abgeschaltet.

Neu in Version 4.4: v8

Ab UCS@school 4.4v8 werden Rechner mit mehreren IP-Adressen unterstützt. Die IP-Adressen des jeweiligen Rechners werden durchlaufen und die erste verwendet, die erreicht werden kann. Dies kann zu längeren Wartezeiten führen, wenn Rechner innerhalb des Computerraums ausgeschaltet sind oder eine Firewall den Befehl blockiert. Das Verhalten ist standardmäßig deaktiviert und kann durch Setzen der Univention Configuration Registry-Variable ucsschool/umc/computerroom/ping-client-ip-addresses aktiviert werden.

Vorsicht

Ab UCS@school 5.0 wird Veyon als Computerraum Backend eingesetzt. In den UMC-Modulen Computerraum und Klassenarbeiten werden fortan nur noch Computerräume angezeigt, deren Backend auf Veyon gesetzt ist.

Für die Zeit der Migration in Multi-Server-Umgebungen können Computerräume, die iTALC als Backend verwenden und auf Replica Directory Node betrieben werden, die noch UCS@school 4.4v9 verwenden, weiter verwendet werden. Die Migration von iTALC auf Veyon in diesen Mischumgebungen erfolgt im UMC-Modul Computerräume verwalten auf dem entsprechenden Replica Directory Node (und nicht auf dem Primary Directory Node). Die Schritte der Migration von iTALC zu Veyon sind in Univention Help 16937 - „Migration of the computer room backend iTALC to Veyon“ beschrieben.

5.8. Konfiguration des Klassenlisten-Moduls#

Über das UMC-Modul Klassenlisten können Listen mit Schülerdaten einer ausgewählten Klasse exportiert werden. In der Standardkonfiguration werden die UDM Attribute firstname, lastname und username sowie die ausgewählte Klasse angezeigt.

Mit der Univention Configuration Registry Variable ucsschool/umc/lists/class/attributes können die angezeigten Attribute angepasst werden. Die Variable beschreibt eine Zuordnung der anzuzeigenden UDM Attribute zu den angezeigten Spaltennamen. Dabei sind die Zuordnung durch Kommata zu trennen, z.B. firstname Vorname,lastname Nachname,Class Klasse,username Username. Für Class wird dabei die ausgewählte Klasse eingesetzt.

5.9. Konfiguration von Email-Adressen für Arbeitsgruppen#

Neu in Version 4.4v7: Ab UCS@school 4.4v7 ist es möglich die Aktivierung von E-Mailadressen für Arbeitsgruppen über das Modul Arbeitsgruppen verwalten zu erlauben.

Um dieses Feature zu aktivieren, muss die Univention Configuration Registry Variable ucsschool/workgroups/mailaddress gesetzt werden. Der eingetragene Wert bestimmt das Muster, nach dem die E-Mailadresse einer Arbeitsgruppe berechnet wird.

Es stehen folgende Platzhalter-Werte zur Verfügung:

  • {ou}

  • {name}

Ist der Wert der Univention Configuration Registry Variable beispielsweise {ou}-{name}@schule-univention.de, so wird für eine Arbeitsgruppe mit dem Namen AG1 an der Schule DEMOSCHOOL die E-Mailadresse DEMOSCHOOL-AG1@schule-univention.de berechnet.

5.10. Provisionierung von Benutzern zu Apple School Manager#

Die Apple School Manager Connector App für UCS@school synchronisiert automatisch Benutzer zu Apple School Manager (ASM). Das UCS@school Identity Management übernimmt die Rolle des Studierendeninformationssystems und verwendet die SFTP-Schnittstelle, wie sie von Apple bereit gestellt wird.

Auf dieser Seite