Jump to content

Anmelden von Domänen Benutzer an bestimmten Rechner lässt sich nicht unterbinden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor einer Stunde schrieb MS Master:

Und nein, das habe nicht ich mir so ausgedacht, sondern ein paar hoch bezahlte

 

Wie wäre es denn, die hochbezahlten denken sich dafür denn auch die Lösung aus? :)

 

Ich kenn sowas, auch solche Leute, bei denen beginnet jeder Satz mit dem Wort theoretisch. Ob man denen immer alle Wünsche so kostenlos erfüllen soll? Ohne dafür geeignetes Gerät, Software und jährliche Lizenzkosten? Ob die ihre Wünsche nicht ganz schnell vergessen wenns Geld kostet?

 

Wir hatten einmal https://www.time-for-kids.de/produkte/utm-schulrouter-plus/

 

 

 

 

 

bearbeitet von lefg
Link zu diesem Kommentar

Also die Aufgabe "Youtube blocken / nicht blocken" oder Internet an / aus würde ich einem Proxy überlassen. Der kann ja dann auch aus dem AD deine "erlaubt Gruppe" nutzen. Ich würde auch das "Konzept" mit täglich neuen Zugangsdaten einmal in Frage stellen und ggfs. mit Argumenten dagegen sprechen.

 

Was passiert denn wenn ein Schüler einfach sein Smartphone oder sonstwas zückt und Youtube schaut?

 

Ansonsten wäre die Frage, wie alt sind die Schüler bzw. was ist das für eine Schule. Unter Umständen kann man da ja auch über "Aufklärung" mit Parallelen zum späteren Arbeitsleben etwas erreichen.

Link zu diesem Kommentar

Hi,

 

danke erst mal für die Hilfen und Anregungen. Bzgl. der Frage nach Alter etc. Das Konzept greift ab der 5. Klasse, und soll den Schülern den Umgang mit Digitalen Medien näher bringen. Dazu gehört dann auch das schon Fünftklässler in Eigenverantwortung z.b. Präsentationen erstellen sollen. Dabei sind Sie natürlich trotzdem nicht ganz alleine, den in diesen s.g. ILZ Stunden stehen durchaus Lehrkräfte bereit um die Schüler und Schülerinnen zu unterstützen. Wie Sie dabei aber die gestellten Aufgaben erledigen und organisieren ist den Schülern selber überlassen.

 

Bzgl. der Sache mit den Handy: Es mag jetzt überraschen, aber diese sind schlicht strikt verboten. Es stehen (ähnlich den Wertfächern im z.b. Schwimmbad) jedem Schüler ein Fach zur Verfügung wo das Handy/Smartphone und andere Wertgegenstände abgelegt werden können. Diese sind spätestens um 7:50 dort einzuschließen. Eine Nutzung während der Schulzeit, auch in den pausen führt zum sofortigen Schulverweis. Das Konzept hat sich aber bewährt, und wird auch von den Eltern mit getragen bzw. sogar befürwortet.

 

Dafür stehen ja dann die PCs zur Verfügung, auf denen die jeweiligen Schüler bzw. Klassen dann ihre Aufgaben erfüllen können. Nur eben leider nicht genug PCs für alle, so das es in Spitzenzeiten schon mal eng wird. Und so sind jetzt einige Schlauberger auf die Idee gekommen eben die Schulungs PCs zu "missbrauchen", um diesen Engpass zu umgehen. Das Problem ist jetzt eben das im einen Fall es nicht so schlimm ist, wenn da mal 1-2 PCs ausfallen. Bei den Schulungs PCs verlassen sich die Lehrkräfte aber darauf das der geplante Unterricht bzw. auch die Nutzung Störungsfrei stattfinden kann. Das auch unter dem Aspekt das dort ebenfalls Tests ausgeführt werden.

 

@Testuser

Habe es jetzt nochmal sauber auf einem separaten Rechner hochgezogen mit eigener OU wie von dir vorgeschlagen. Dort funktioniert es genau wie von dir geschildert. Die GPO wird übernommen, und es können sich nur diejenigen User anmelden, welche dort hinterlegt sind.

 

Warum es nicht geht wenn man exakt das gleiche Lokal konfiguriert wird wohl ein Geheimnis von Microsoft bleiben.

Link zu diesem Kommentar

Hi,

 

der Ursprungsgedanken folgte der Tatsache das eigentlich überall zu dieser Art von Thema immer zuerst von Verbotslisten die Rede ist. Bzw. auf der anderen Seite der Hinweis kam das für die Handvoll Benutzer Lokal zu konfigurieren, das sei einfacher und übersichtlicher.

 

Bzgl. Übersichtlichkeit muss ich den Leute da dann auch recht geben, den leider ist gefordert, das zwar auf allen Schulungsrechnern jeweils Admin bzw. Schulungsaccount Identisch sind. Aber die beiden anderen Accounts für die Verantwortlichen unterscheiden sich. Somit entstehen dann leider Extrem viele GPOs, da diese oft nicht auf mehrere Rechner bzw. die Anforderungen dazu passen.

 

An solchen stellen bin ich dann der Verfechter des klassischen A4 Blatt auf dem das kurz und knapp drauf steht, und eben dann lokal Konfiguriert wird. Das ist wesentlich übersichtlicher als 500+ GPOs zu haben (finde ich zumindest).

Link zu diesem Kommentar
vor 3 Stunden schrieb MS Master:

Eine Nutzung während der Schulzeit, auch in den pausen führt zum sofortigen Schulverweis.

Aus welchem Grund ist man denn mit "missbrauch" von Schulungs-PCs nicht genau so rigoros?

Was machst du wenn ein Schüler so kreativ ist und von USB / CD eine Live-OS bootet?

 

Wenn es hier tatsächlich überwiegend um Internetzugriff / bestimmte Websites geht, wäre ich immer noch beim Proxy.

Link zu diesem Kommentar

Hi,

 

booten von CD/USB ist nicht möglich. Und es geht nicht um Internet Zugriffe. Das war nur ein Beispiel.

 

Die berechtigten Schüler machen auch ihr Wochenaufgaben auf den PCs. Wie oben geschrieben gehört dazu auch mal eine Präsentation zu erstellen. Oder es gibt Aufgaben im Fremdsprachenbereich, wo die Schüler dann mit Headset am PC sitzen und die Aufgabe ist auf das gesprochene/gehörte eine korrekte Antwort einzugeben. Und bevor was kommt bzgl. Schummeln: Wie weiter oben geschrieben sind in diesen Stunden Lehrkräfte mit dabei. Es ist den Schülern lediglich frei überlassen welche Ihrer Aufgaben Sie wann machen. Der eine macht z.b. Mathe am Montag, der andere am Dienstag oder Donnerstag. Am Ende der Woche müssen nur alle gestellten Aufgaben erledigt sein.

 

Hier geht es ja aber eigentlich nicht um diese Form der Schule. Das Konzept hat sich bewährt, und es gibt mehr Bewerber als tatsächlich freie Plätze vorhanden sind.

Link zu diesem Kommentar

Grübel...

 

ich hab mir grad den ganzen Thread angetan und in mal (halbwegs schnell) überflogen. Nur damit ich es richtig verstehe kurz zusammen gefasst:

 

sagen wir es gibt 2 Räume mit je 20 Computern

auf den Computern dürfen sich bestimme Schüler zu bestimmten Zeiten anmelden, danach wird der Zugang gesperrt. Danach sollen sie nicht mehr mit dem User rein kommen können bzw. nicht mehr surfen dürfen oder ähnliches. Anmelden darf man nur auf gewissen Geräten und nicht "frei nach Verfügung"...

Stimmts so ungefähr?

mir würden 3 Lösungen einfallen und die sind klarerweise mit ein wenig Arbeit verbunden (und bleibens auch...)
 

1. Da es sich ja um eine Domäne handelt, kannst du AD-Gruppen machen (sollte es eine Linux Domäne sein mit LDAP gehen auch dort Gruppen zu bilden). Die Gruppennamen sind Rechnername-Allow bzw. Rechnername-Deny  (je nachdem ob du lieber verbieten willst oder erlauben)

2. Du legst auf jedem Rechner einmalig je diese Gruppe vom AD als "Erlaubter Login" und "Verbotener Login" fest
(findet sich beides unter secpol.msc -> security settings -> local policies -> user rights assignment -> allow log on locally  bzw. deny log on locally)
3. Du legst für den Schüler einen Account an und gibst ihm die Berechtigungen für den einen Computer zur Anmeldung per Gruppe und lässt ihn zusätzlich einfach "ablaufen" zu einem gewissen Zeitpunkt.
4. Surfberechtigungen kannst du zur Not auch anders abfangen, aber mit Proxy wäre es schon mal ganz gut ;)


zweite Lösung - Smartcards und Smartcardreader 

damit kannst du mit der richtigen Software einstellen wer wie lange darf und auch steuern, wo sie sich anmelden dürfen. 
Im Endeffekt ist bei dieser Art wahrscheinlich der permanente Wartungsaufwand wesentlich einfacher als bei der ersten Lösung.

 


dritte Lösung - die Softwarelösungen von Internet-Cafés (!) 

Solche Lokale haben genau dasselbe Problem: Wie lasse ich Leute bestimmte Dinge tun und andere nicht und das über bestimmte Zeiten ;)
Zur Verwaltung im weiteren wahrscheinlich die einfachste Lösung.

(gibt es auch ein paar -> Dr. Google findet schon die Links dazu)

 

 

Das wären zumindest mal die Dinge die mir so einfallen würden zu dem Problem (ohne jetzt stark und viel mit GPOs rum zu basteln)

Sonst finde ich das Konzept ganz in Ordnung mit restriktiertem Einsatz - wenn gleich ich da auch gewisse Probleme auch sehe ;)

Link zu diesem Kommentar

Also ich habe mir jetzt alles durchgelesen. So ganz verstanden warum du es nicht per GPO lösen möchtest, habe ich aber trotzdem nicht =)

 

Ich mache das auch jeweils so, dass ich die Rechner in den OU's gruppiere wie bereits vorgeschlagen wurde.

 

Dann erstelle ich organisatorische AD-Gruppen :

- eine Domain-Local Gruppe für jede OU (mit jeweiligen PC's drin) die ein Anmeldungsrecht hat (z.B. SAG-LG-Raum01, SAG-LG-Geschäftsleitung für die PC's der GL usw. Manchmal ist da nur 1 PC drinn)

- Für jede dieser Gruppen füge ich eine GPO auf die jeweilige OU hinzu welche "Lokal anmelden zulassen" definiert. Dabei ist nur diese Gruppe sowie VORDEFINIERT\Administratoren erlaubt

- Dann organisatorische "Gruppen", welche die Benutzer an sich beinhalten (z.B. SAG-GG-Geschäftsleitung, SAG-GG-SchülerKlasse1, SAG-GG-Lehrer usw.)

- Dann beliebige Anzahl weiterer organisatorischer Gruppen (was benötigt wird muss man eruieren) welche dann z.B. die gruppen von oben beinhalten sofern nötig. z.B. SAG-GG-SchülerAlle, SAG-GG-InternetzugriffErlauben usw.)

- die organisatorischen Gruppen mit den Benutzern oder die reinen organisatorischen Gruppe füge ich dann den jeweiligen Local Groups zu, in welchen Sie die Anmeldeberechtigung haben

 

Den grössten Vorteil sehe ich darin, dass man nicht immer mühsam die GPO's verändern muss. Die bleiben immer gleich. Nur die Zugehörigkeit in den AD-Gruppen kann sich ändern.

Mit einzelnen Benutzern musst Du dich höchstens rumschlagen wenn du eine provisorische Berechtigung nur für diesen einen Benutzer geben willst. Zudem viel übersichtlicher wenn man einen logischen Aufbau hat und Wildwuchs möglichst vermeidet. Auch kannst das füllen der einzelnen Zugriffs-Gruppen delegieren indem du gezielt Rechte für die Gruppen bzw. den OU's wo sie drinliegen vergibst. Also z.B. darf nur der Admin die Hauptgruppen füllen, die Lehrpersonen aber die Gruppen für die provisorischen Zugriffe.

 

Wenn das öfter vorkommt, kann man sich überlegen spezielle Provisorische-Berechtigungs-Gruppen zu erstellen. Dies könnte man z.B. automatisiert leeren. Über Nacht, am morgen oder per Script durch die zuständigen Personnen.

 

Je nach dem wäre auch kleines z.B. selbst geschriebenes Planungsprogramm hilfreich welches die jeweiligen Gruppen automatisiert füllt. z.B. aufgrund eines kleinen Planers, Reservierungsliste oder mit den Kalenderdaten/Raumreservierungen aus Exchange usw. Da gibt es viele Möglichkeiten die mal mehr oder weniger sinnvoll sind. Dem Spieltrieb sind da keine Grenzen gesetzt und manchmal bringt das eine schöne Zeit-Ersparnis ;)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...