System-Management
In Kooperation mit IT-Consult AG bietet Compaq das Schule @ Zukunft-Paket für System-Management an. KONZEPTION 1. Rollen- und Benutzerbasierte Server-Betriebsystemkonzeption / Dateiablage Allgemeine Definitionen: Die Benutzerverwaltung basiert auf den lokalen Schulanforderungen. Zum Einsatz kommt zum Beispiel Windows 2000 Active Directory, mit jeweils eigenem ADS-Baum. Der DNS-Name des ADS-Baums setzt sich aus dem Namen der Schule und der Top-Level Domäne ".DE" zusammen. Der DNS-Name ist nicht notwendigerweise ein offiziell eingetragener Name. Besitzt die Schule bereits einen DNS-Namen, kann dieser übernommen, falls gewünscht und soweit uns diese Information vorliegt. Die Benutzerverwaltung erfolgt durch einen oder mehrere administrative Accounts, die die entsprechenden Rechte besitzen. Dieser kann auch auf untere Ebenen (Organisationseinheit) im Active Directory delegiert werden. Um einen möglichst breiten Standard für die Schulen zu gewährleisten, werden insgesamt drei Szenarien in Betracht gezogen, wobei alle Szenarien auf Basis einer standardisierten Vorgehensweise realisiert werden. Die Szenarien unterscheiden sich im Sinne des Aufbaus des Rollenmodells sowie im Ansatz bzw. der Wartung im laufenden Betrieb. So kann speziell das dritte Szenario auch durch ein externes CallCenter im Sinne eines Servicemodells gemanaged werden. 1.) Aufgabenbezogenes Szenario Standard ADS Installation, Einrichtung von OUs (Organisationseinheiten) für Verwaltung und Lehrkräfte. Diese OUs enthalten persönliche Anmeldenamen. Auf der gleichen Ebene befindet sich die OU für Schüler. Weitere OUs darunter dann aufgabenbezogen, also z.B. "Internet", "AG Programmierung" etc. Diese enthalten anonyme Konten ("PC1", "PC2" usw.). 2.) Schulklassenbezogenes Szenario Standard ADS Installation, Einrichtung von OUs für Verwaltung, Lehrkräfte und Klassen. Die OUs der Klassen enthalten anonyme Konten, beispielsweise Nummern, die am Ende eines Schuljahres beibehalten werden können. Lediglich die Passwörter sollten zurückgesetzt werden. Jeder Schüler erhält seine eigene Kennung für ein Schuljahr. Dadurch ergibt sich die gleiche Struktur wie oben, jedoch werden statt Aufgaben die Schulklassen als Organisationseinheiten herangezogen. 3.) Personalisiertes Szenario Standard ADS Installation, Einrichtung von OUs für Verwaltung Lehrkräfte und Klassen. Jeder Schüler erhält seinen eigenen Anmeldenamen, den er während der ganzen Schulzeit behält. Die Schüler müssen dabei am Ende bzw. Anfang des Schuljahres in die entsprechenden OUs verschoben werden. Dies kann allerdings automatisch durch Auslesen der Daten aus einem Verwaltungssystem o.ä. erfolgen. Dabei wird ein zusätzliches System benötigt, das eigens programmiert werden muss, um eine zentrale Datenbank auf der Ebene Kreis, Land oder Schulträger zu realisieren. In allen Szenarien werden serverseitig entsprechende Quotas (Größenbeschränkungen) gesetzt. Für die Dateiablage werden auf dem Schuldateiserver folgende Freigaben bereitgestellt: Allgemeine Ablage mit Leserecht für alle, Schreibrechte für "Informationsbereitsteller" Gruppenablagen mit Schreib-/Leserechte für die Gruppe, z.B. Verwaltung Klassenablagen mit Schreib-/Leserechte für die entsprechende Klasse (nur bei Vorschlag 2 und 3) bzw. Ablage pro Aufgabengebiet (bei Vorschlag 1) mit Schreib-/Leserechte für die entsprechenden Aufgabengebiete Userablage für jeden namensbezogenen Zugang mit Schreib-/Leserechte Ablagen für Arbeitsgruppen, Kurse, Fächer mit Leserechte für die entsprechenden Mitglieder ("Gruppe" in ADS), Schreibrechte für die Lehrkraft Die Zugriffsrechte werden durch Sicherheitsgruppen analog zu den Organisationseinheiten der ADS gesteuert. Die spezifischen Inhalte werden per standardisierter Checkliste schulspezifisch erhoben. 2. Druckerkonzept Für das Drucken in der Schule ergeben sich folgende Möglichkeiten. Dabei werden auf Basis einer standardisierten Checkliste die für die Schule relevanten Inhalte zusammengetragen. Weiterhin wird davon ausgegangen, dass die Drucker für die Schulen standardisiert sind. Aktuell gehen wir von 3 Standarddruckern aus, die als Pakete bereitgestellt werden. Zusätzliche "Altdrucker" können auf Wunsch und mit Zusatzaufwand in den Warenkorb aufgenommen werden. Lokaler Drucker Der Drucker ist lediglich an einer Arbeitsstation angeschlossen und nicht im Netzwerk verfügbar. Dabei werden die Drucker als optionale Pakete in den Warenkorb aufgenommen, wodurch vermieden wird, daß eine große Anzahl ähnlicher Warenkörbe benötigt wird. Netzwerkdrucker als Serverfreigabe Der Drucker ist ein netzwerkfähiger Drucker (mit eigener Netzwerkkarte oder Box) und ist am Server als Freigabe definiert. Die Berechtigung zum Drucken wird über die Freigabeebene am Server erteilt. Jeder berechtigte Benutzer kann den Drucker ohne Installation des Treibers benutzen. Das Spooling wird durch den Server durchgeführt. Netzwerkdrucker ohne Serverfreigabe Der Drucker steht als TCP/IP Drucker im Netzwerk zur Verfügung. Der Treiber muss an jedem Arbeitsplatz, der darauf drucken will, installiert werden. Empfehlenswert ist die Variante "Lokaler Drucker" für den Druck sensitiver Dokumente und "Netzwerkdrucker als Serverfreigabe" für den Druck von größeren Volumina auf einem oder mehreren entsprechend schnellen Druckern. Die Ausstattung der Schulen mit Druckern ist hierbei maßgeblich für die Anwendung. 3. Datensicherheits- / Security- / Policykonzeption Auf Basis von Checklisten werden für die verschiedenen Systeme die Security- und Policy-Einstellungen festgelegt. Dabei wird zwischen restriktiven und halboffenen Einstellungen unterschieden. Ziel hierbei ist es, eine für die Schule effizient verwaltbare Systemumgebung zu schaffen. Arbeitsstation (restrikive Policy) Die Sicherheit der Arbeitsstation wird zum einen über Policies der ADS geregelt. Damit kann beispielsweise der Zugriff auf die lokale Registrierdatenbank verboten werden, der Start bestimmter Programme usw. Des weiteren wird durch die Mitgliedschaft in bestimmten Gruppen ermöglicht bzw. verboten werden,Treiber zu installieren oder Einstellungen in der Systemsteuerung zu verändern. Ein Virenscanner kann somit ebenfalls nicht deaktiviert werden. Dem Benutzer können die Schreibrechte auf die lokalen Festplatten weitestgehend entzogen werden und der Zugriff auf das Diskettenlaufwerk und/oder CD-ROM gesperrt werden. Lehrer /Verwaltung (halboffen) Die Systeme für Lehrer und Verwaltung besitzen hierbei weniger Restriktionen. So erhält dieses System Rechte auf CD-ROM und Diskettenlaufwerke, um Daten einlesen zu können. Ebenso kann dieses System "Hauptbenutzer-Rechte" erhalten, um beispielsweise den Desktop oder die Uhrzeit des Systems ändern zu können. Schüler (restrikiv) Das Schülersystem erhält sehr wenig Rechte. Die oben aufgeführten Möglichkeiten werden ausgeschöpft und der Benutzer erhält somit nur stark eingeschränkte Rechte. Server (restriktiv) Durch die Berechtigungen auf Dateiebene wird der Zugriff auf Daten entweder erlaubt oder verboten. Zusätzlich ist es empfehlenswert, auf dem Dateiserver ebenfalls einen Virenscanner vorzusehen. Somit erfolgt die Überprüfung auf Viren zweistufig. Die Virenscanner sollten eine Möglichkeit des automatischen Updates haben, was von den Marktführern angeboten wird. Der Server, der gleichzeitig auch der Domain-Controller, DHCP und DNS Server ist, sollte physikalisch nicht zugänglich sein, d.h. in einem eigenen Server-Raum stehen, der nur von berechtigten Personen betreten werden kann. Die Verwaltung der ADS kann von einem Arbeitsplatz mit den entsprechenden Rechten erfolgen. Zugriffe auf Dateiebene werden durch Freigaben und Rechte geregelt. Datensicherung Die Server werden - sofern vorgesehen - durch ein Bandsystem gesichert. Durch den Einsatz von ILCM kann jede Arbeitsstation und jeder Server sehr schnell im Fehlerfall wiederhergestellt werden. Die Datensicherung erfolgt durch das GFS-Prinzip als Vollbackup. Das Backup erfolgt über Windows Backup. Es werden die Dateiablagen als vollständige Backups gesichert. Backup Jobs werden über den Zeitplandienst gesteuert. Um sicherzustellen, daß das richtige Band eingelegt ist, ist eine Interaktion (Bestätigungsfenster) mit dem Backupverantwortlichen, vorgesehen. Die Verwaltung sowie das Wechseln der Sicherungsbänder erfolgt durch Personal der Schulen. SYSTEMERSTBEREITSTELLUNG 4. Grundinstallation iLCM Custom Master System Für die Steuerung der Prozesse bei der Erstinstallation von Systemen sowie typischen Betriebsszenarien wie das Wiederherstellen eines Systems oder das Softwareupdate kommt auf Basis eines Schulträgers je ein iLCM Custom Master System zum Einsatz. In diesem werden rollenbasiert alle Benutzer-,Administrationsparameter sowie die benötigten Hard- und Softwarewarenkörbe schultypisch definiert. Das System wird je Schulträger einmal an zentraler Stelle implementiert, wobei bei der Wahl des Standorts (Betriebsszenarien) die Anbindung an die Schulen berücksichtigt werden muß. Das iLCM Custom Master System kann sowohl beim Schulträger selbst als auch an Dritter Stelle betrieben werden. Im Rahmen des Projektes erfolgt auf Basis des Bedarfes des Schulträgers bzw. der Schulen sowie der Betriebsszenarien eine Implementierung durch IT Consult. Hierbei ist vorgesehen den Schulträger an zentraler Stelle mit einzubinden und einen Wissenstransfer über die Technologie sowie die Prozesse anzustoßen. Als Basis dazu werden die vorgesehenen Ansprechpartner des Schulträgers auf Basis des Trainings Kurstyp 2 zusätzlich qualifiziert. 5. Erstinbetriebnahme: Staging Für die Erstausstattung im Projekt sind nach heutigem Wissensstand folgende Warenkörbe geplant und hier berücksichtigt: Server: Windows 2000 Server Windows Backup Client: Windows 2000 Professional Office 2000Internet Explorer 5.5 Acrobat Reader (Software die für eine Client Installation erforderlich ist) Bei der Installation der Pakete wird davon ausgegangen, dass alle eingesetzten Pakete mit den aktuellen Patches und in deutsch aufgespielt werden. Im Rahmen des Projektes "Schulen ans Netz" im Land Hessen wird davon ausgegangen, dass zusätzlich zu den oben aufgeführten Warenkorbpaketen schultyp-, altersstufen- und schulklassenspezifische Pakete benötigt werden. Da die konkreten Anforderungen an die Pakete momentan nicht bekannt sind, kann bei dem entstehenden Bedarf, komplexe und Nichtstandardpakete umzusetzen und in den Erstinstallationswarenkorb zu integrieren, eine zusätzliche Auspreisung durch IT Consult erfolgen. Der Ablauf des Stagings erfolgt in unten dargestellter Reihenfolge. Der Ablauf wird exemplarisch für eine Schule beschrieben und wiederholt sich entsprechend. Dabei wird vorausgesetzt, dass die schulseitigen Infrastrukturmaßnahmen (Netzwerk, ISDN) bereits durchgeführt sind Auf Ebene der Schulträger erfolgt eine personalisierte Grundinstallation des iLCM Custom Master Systems sowie des dazu abgestimmten Webportals. Mit Durchführung der Grundinstallation des zentralen iLCM Systems je Schulträger auf Basis eines iLCM Servicesystems erhält jeder Schulträger sein spezifisches System, abgestimmt mit dem von Ihm benötigten Warenkörben und Systemrollen. Anmerkung : Das iLCM Custom Master System wird auf einer kundeneignen (Schulträger) Hardware mit Windows 2000 Server und SQL Server 2000 aufgesetzt. Ablaufschritte: Grundkonfiguration des iLCM Rollenmodells und Warenkorbdefinition Lieferung des Servers durch Compaq zu IT Consult Installation des Servers an zentraler Stelle durch IT Consult auf Basis iLCM Lieferung und Aufbau des Servers durch Compaq in der Schule Lieferung der Clients (ohne Installation) durch Compaq in die Schule Einbindung der Systeme in die Infrastruktur durch Compaq (Aufstellen und Anschluss der Systeme) Automatische Betankung der Clients auf Basis iLCM Freigabe und Übergabe an Schule 6. Betrieb: Systemausfall und Wiederherstellung Bei einem Systemausfall greifen folgende Szenarien zur Wiederherstellung. Client: Hardwaredefekt Im Falle eines Hardwaredefektes wird das System durch Compaq getauscht. Sobald sich das System wieder aktiv im Schulnetz befindet wird es via. iLCM automatisch betankt. Dieser Betankungsvorgang kann in Abhängigkeit der gewünschten Leistungen, die durch die Schule eigenständig erbracht werden sollen, grundsätzlich wie folgt geregelt werden: Ausführung erfolgt durch einen Teilnehmer der Schule Vorgang wird von zentraler Stelle (Call Center) aus angesteuert Softwaredefekt (Betriebssystem-, Programmdateien gelöscht etc.) Im Falle eines Defektes, der auf einen Softwarefehler schließen lässt greift folgende Vorgehensweise zur Wiederherstellung: Das System wird automatisch neu betankt (wie unter Punkt a, i). Sollte die Betankung negativ sein, wird von einem Hardwaredefekt ausgegangen und das Gerät wird durch Compaq ersetzt. Das Wiederherstellen des Gerätes geschieht dann gemäß Punkt a, i. Sofern erkennbar, dass es sich um einen reinen Softwaredefekt handelt wird wie folgt verfahren. Das System wird automatisch via. iLCM betankt, wobei eine Wahlmöglichkeit wie folgt besteht: Server: Die Wiederherstellung der Server erfolgt je nach Serverkonzeption. Im Rahmen dieses Projektes wird davon ausgegangen, dass je ein Server in der Schule steht und als "staging" Server dient. Sofern ein solcher Server ausfällt, greift folgendes Verfahren: Der Server wird via. Master Server CD neu gebootet. Im Rahmen einer automatischen Installation wird der Server wiederhergestellt incl. der "iLCM Staging Umgebung". Sofern der Server nicht mehr bootfähig und wiederherstellbar ist, erfolgt ein Austausch des Systems durch Compaq. Bei einem ausgetauschten System wird via. Boot CD der Server wiederhergestellt und in seinen Urzustand versetzt. Nach einer Wiederherstellung werden notwendige Daten von der aktuellen Bandsicherung zurückgesichert. Zum Einlegen der CD und des Sicherungsbandes wird auf den schuleigenen PC Beauftragten zurückgegriffen. LAUFENDER BETRIEB 7. Betrieb: Changemanagement / Softwareupdate Neue Softwarepakete die für einen bestehenden Schulenwarenkorb im Sinne einer Erweiterung bestimmt sind, werden durch IT Consult erstellt und im iLCM für die Verwendung bereitgestellt. Dabei wird wie folgt unterschieden: Pakete die eine hohe Installationsbasis haben Pakete für wenige Einsätze oder Sonderpakete Die Installation der Pakete erfolgt automatisch nach dem Prinzip des iLCM Self Service. Dabei bestehen folgende Wahlmöglichkeiten: Ausführung erfolgt durch einen Teilnehmer der Schule Vorgang wird von zentraler Stelle (Call Center) aus angesteuert Das Bereitstellen von neuen Hardwarepaketen erfolgt nach dem gleichen Schema wie oben beschrieben. Die Anforderung erfolgt durch Compaq dann wenn z.B. eine neue Hardwareplattform geplant ist. 8. Bereitstellung neue Hard- und Softwarepakete Aufgabe der IT Consult im Rahmen dieses Projektes ist es die benötigten Hard- und Softwarebasispakete (Container) bereitzustellen, die zur Installation kommen sollen. Dies geschieht in einer solchen Weise, dass die Pakete nach Freigabe durch einen Schulträger via. ILCM automatisch über das iLCM Webportal den Schulen für die Installation zur Verfügung gestellt werden. Je nach Wunsch können z.B. die Schulträger in den Vorgang der Paketausgestaltung mit eingebunden werden. Für das Projekt "SaN" im Land Hessen werden nach heutigem Wissenstand folgende Pakete für die Systemerstbereitstellung konfiguriert, wobei die Konfigurations-merkmale auf die einzelnen Schultypen gemäß Konzeption abgestimmt sind. Software Windows 2000 Server Windows 2000 Professional Workstation Office 2000 Internet Explorer 5.5 Acrobat Reader 4 Hardware Compaq Server ML370 Compaq iPAQ Neue Softwarepakete / Erweiterung des bestehenden Warenkorbes Softwarepakete, die im Rahmen der System Nutzungsdauer ergänzend benötigt werden, werden nach folgendem Muster bereitgestellt. Ein Gremium (z.B. Schulträger im Land Hessen) das die Standardisierung von neuen Softwarepaketen betreut, gibt die vorgesehene Softwarepakete in einem ¼ jährlichen Turnus frei. IT Consult erstellt auf Basis dieser benötigten Software die entsprechenden Basispakete und stellt diese nach Absprache und Freigabe den Schulen über das iLCM Web Portal zur Verfügung. Damit für die Schulen ein flexibles Konzept bei der Zusammenstellung der neuen Softwarepakete gegeben ist stellen wir eine Kombination aus Paketen mit unterschiedlicher Komplexität der Software zusammen. Basistypen der Kombination sind: Typ A (z.B. einfache Anwendungen, Shareware) Typ B (z.B. Internet Explorer) Typ C (z.B. Office 2000 ) Typ D (z.B. Oracle Designer, kaufm./ tech. Anwendungen) Aus heutiger Sicht gehen wir bei dem Bedarf der Schulen von einer gemischten Warenkorbanforderung aus, wobei ein Großteil der Anwendungen beim Typ A zu erwarten sind. Dem gemäß haben wir nach momentanem Kenntnisstand folgende Kombination mit insgesamt 5 Pakten gewählt: Kombination: Typ A 3x, Typ B 1x, Typ C 1x Die im Angebot berücksichtigte Mindestinstallationsbasis beträgt 10.000 Vorgänge je Kombination und Quartal. Die Abrechnung der Paketbereitstellung erfolgt bedarfsgerecht und zeitnah je Vorgang. Der Prozess der Bereitstellung entspricht dem Vorgang Changemanagement / Softwareupdate. Für Softwarepakete die außerhalb des eigentlichen, von Compaq angebotenen Warenkorbes liegen wird ein Aufwand auf Dienstleistungsbasis angeboten. Auf diesem Wege können dann z.B. auch exotische Hardwaresysteme mit dem Schulwarenkorb betankt werden (Voraussetzung: die HW ist aktuell genug). 9. iLCM Service Center / iLCM Call Center Prozessunterstützung im iLCM Service Center Durch das iLCM Self Service Prinzip können wesentliche Aufgaben wie das Wiederherstellen oder das Softwareupdate durch den PC Anwender oder PC Beauftragten der Schule / Schulträger eigenständig via. ILCM WEB Portal ausgeführt werden. Das IT Consult iLCM Service Center bietet zusätzlich an, diese Leistungen auf Vorgangsbasis auszuführen. Das iLCM Service Center ist über eine zentrale Telefonnummer erreichbar und zu den schultypischen Zeiten besetzt. Durchführen und Kontrolle von zentral gesteuerten Vorgängen im Rahmen von Systembereitstellung wie Erst- und Tauschbereitstellungen, Systemfreigaben und Rollen- Benutzeränderungen Durchführen von Nachbetankungen, Softwareupdates, Systemwiederher-stellung Auswertungen und / Monitoring (z.B. Erstellen von Assetmanagement-reports) Support / Troubleshooting im iLCM Call Center Um Anwender bei Fragen zu den von Ihnen eingesetzten Systemen zu unterstützen, bietet IT Consult zusätzlich die Möglichkeit eines zentralen Call Centers an. Dieses ist ebenso über eine zentrale Telefonnummer erreichbar und zu den schultypischen Zeiten besetzt. Die Verrechnung erfolgt auf Minutenbasis. Unterstützt werden: Bedienung und Handhabung des iLCM Webportals Fragen zu der in den Schulen eingesetzten Warenkorbsoftware Fragen zu Infrastruktur, Hardware und Kommunikation 10. Assetmanagement Im Rahmen des Piloten werden durch iLCM Informationen zu folgenden Assets in Form von Reports geliefert. Lizenzen - Anzahl der installierten Softwarepakete pro Schule und Paket (gemäß iLCM Einrichtung) Hardware Infos - Daten über die Hardwareausstattung pro System (Rechnertyp, Netzwerkkarte, Graphikkarte, Softwareabonnements - Anzahl der installierten Softwarepakete pro Schule und Paket gemäß iLCM Einrichtung) Diese Informationen werden auf Basis einer Schule und / oder eines Schulträgers zusammengestellt. Bei Bedarf können auch zusätzliche Auswertungen gefahren werden. 11. Wissenstransfer / Training Einweisung in das iLCM Web Portal Ziel: Kennenlernen der Endanwenderfunktionen wie Softwareupdate, Systemwiederherstellen; Train the Teacher Inhalte: iLCM Szenarien, Arbeiten mit dem Webportal, Systemtracking, Softwareupdate, Wiederherstellen, QuickIT Funktionen, Bestellen eines Neusystems mit Auswahl des Warenkorbes Dauer: ½ Tag Anzahl Teilnehmer min. 10- max. 12 iLCM PC Beauftragter Admin Training Ziel: Kennenlernen der Betriebsszenarien, Konzeption, Prozesse und Technologien Inhalte: iLCM Managementconsole auf Basis des PC Beauftragten Admin. Freigeben von Systemen, Warenkörbe erstellen, Projekte anlegen, Benutzer freigeben, Rollendefinition, Monitoring, Reporting, Wiederherstellung Server Dauer: 3 Tage Anzahl Teilnehmer min. 4 - max. 6 12. Infrastrukturspezifikationen Für das Projekt sind folgende Rahmenparameter gegeben: Anzahl Schulen : rund 1000 Anzahl Server je Schule: 1 Anzahl neue Clients je Schule: ca. 30 ohne Altbestandssysteme Anzahl bestehende Clients je Schule: offen Ein zentrales iLCM Custom Master System je Schulträger mit folgenden Komponenten: Windows 2000 Server, IIS5 SQL Server 2000 Es wird von rund 20 gleichzeitigen Zugriffen durch Staging Dienste (Schulserver) ausgegangen. Ein Staging Dienst / Server versorgt dabei ca. 30 Clients. Die im Rahmen des Projektes benötigten Lizenzen, speziell für die Software werden seitens Compaq oder durch die Schulträger / Schulen beigestellt. Die Logistik erfolgt durch einen Partner der Compaq Alle Betankungsvorgänge sowie Wiederherstell- und Serviceszenarien werden remote ausgeführt und setzen mindestens eine 64 Kbit Anbindung voraus. (Ausnahme: Wiederherstellung des Server, da hier CD/Sicherungsband lokal einzulegen ist).

System-Management

In Kooperation mit IT-Consult AG bietet Compaq das Schule @ Zukunft-Paket für System-Management an.

KONZEPTION

1. Rollen- und Benutzerbasierte Server-Betriebsystemkonzeption / Dateiablage

Allgemeine Definitionen:

Die Benutzerverwaltung basiert auf den lokalen Schulanforderungen. Zum Einsatz kommt zum Beispiel Windows 2000 Active Directory, mit jeweils eigenem ADS-Baum. Der DNS-Name des ADS-Baums setzt sich aus dem Namen der Schule und der Top-Level Domäne ".DE" zusammen. Der DNS-Name ist nicht notwendigerweise ein offiziell eingetragener Name. Besitzt die Schule bereits einen DNS-Namen, kann dieser übernommen, falls gewünscht und soweit uns diese Information vorliegt.

Die Benutzerverwaltung erfolgt durch einen oder mehrere administrative Accounts, die die entsprechenden Rechte besitzen. Dieser kann auch auf untere Ebenen (Organisationseinheit) im Active Directory delegiert werden.

Um einen möglichst breiten Standard für die Schulen zu gewährleisten, werden insgesamt drei Szenarien in Betracht gezogen, wobei alle Szenarien auf Basis einer standardisierten Vorgehensweise realisiert werden. Die Szenarien unterscheiden sich im Sinne des Aufbaus des Rollenmodells sowie im Ansatz bzw. der Wartung im laufenden Betrieb. So kann speziell das dritte Szenario auch durch ein externes CallCenter im Sinne eines Servicemodells gemanaged werden.

1.) Aufgabenbezogenes Szenario

Standard ADS Installation, Einrichtung von OUs (Organisationseinheiten) für Verwaltung und Lehrkräfte. Diese OUs enthalten persönliche Anmeldenamen. Auf der gleichen Ebene befindet sich die OU für Schüler. Weitere OUs darunter dann aufgabenbezogen, also z.B. "Internet", "AG Programmierung" etc. Diese enthalten anonyme Konten ("PC1", "PC2" usw.).

2.) Schulklassenbezogenes Szenario

Standard ADS Installation, Einrichtung von OUs für Verwaltung, Lehrkräfte und Klassen. Die OUs der Klassen enthalten anonyme Konten, beispielsweise Nummern, die am Ende eines Schuljahres beibehalten werden können. Lediglich die Passwörter sollten zurückgesetzt werden. Jeder Schüler erhält seine eigene Kennung für ein Schuljahr. Dadurch ergibt sich die gleiche Struktur wie oben, jedoch werden statt Aufgaben die Schulklassen als Organisationseinheiten herangezogen.

3.) Personalisiertes Szenario

Standard ADS Installation, Einrichtung von OUs für Verwaltung Lehrkräfte und Klassen. Jeder Schüler erhält seinen eigenen Anmeldenamen, den er während der ganzen Schulzeit behält. Die Schüler müssen dabei am Ende bzw. Anfang des Schuljahres in die entsprechenden OUs verschoben werden. Dies kann allerdings automatisch durch Auslesen der Daten aus einem Verwaltungssystem o.ä. erfolgen. Dabei wird ein zusätzliches System benötigt, das eigens programmiert werden muss, um eine zentrale Datenbank auf der Ebene Kreis, Land oder Schulträger zu realisieren.

In allen Szenarien werden serverseitig entsprechende Quotas (Größenbeschränkungen) gesetzt.

Für die Dateiablage werden auf dem Schuldateiserver folgende Freigaben bereitgestellt:

Allgemeine Ablage mit Leserecht für alle, Schreibrechte für "Informationsbereitsteller"
Gruppenablagen mit Schreib-/Leserechte für die Gruppe, z.B. Verwaltung
Klassenablagen mit Schreib-/Leserechte für die entsprechende Klasse (nur bei Vorschlag 2 und 3) bzw. Ablage pro Aufgabengebiet (bei Vorschlag 1) mit Schreib-/Leserechte für die entsprechenden Aufgabengebiete
Userablage für jeden namensbezogenen Zugang mit Schreib-/Leserechte
Ablagen für Arbeitsgruppen, Kurse, Fächer mit Leserechte für die entsprechenden Mitglieder ("Gruppe" in ADS), Schreibrechte für die Lehrkraft

Die Zugriffsrechte werden durch Sicherheitsgruppen analog zu den Organisationseinheiten der ADS gesteuert. Die spezifischen Inhalte werden per standardisierter Checkliste schulspezifisch erhoben.

2. Druckerkonzept

Für das Drucken in der Schule ergeben sich folgende Möglichkeiten. Dabei werden auf Basis einer standardisierten Checkliste die für die Schule relevanten Inhalte zusammengetragen. Weiterhin wird davon ausgegangen, dass die Drucker für die Schulen standardisiert sind. Aktuell gehen wir von 3 Standarddruckern aus, die als Pakete bereitgestellt werden.

Zusätzliche "Altdrucker" können auf Wunsch und mit Zusatzaufwand in den Warenkorb aufgenommen werden.

Lokaler Drucker

Der Drucker ist lediglich an einer Arbeitsstation angeschlossen und nicht im Netzwerk verfügbar. Dabei werden die Drucker als optionale Pakete in den Warenkorb aufgenommen, wodurch vermieden wird, daß eine große Anzahl ähnlicher Warenkörbe benötigt wird.

Netzwerkdrucker als Serverfreigabe

Der Drucker ist ein netzwerkfähiger Drucker (mit eigener Netzwerkkarte oder Box) und ist am Server als Freigabe definiert. Die Berechtigung zum Drucken wird über die Freigabeebene am Server erteilt. Jeder berechtigte Benutzer kann den Drucker ohne Installation des Treibers benutzen. Das Spooling wird durch den Server durchgeführt.

Netzwerkdrucker ohne Serverfreigabe

Der Drucker steht als TCP/IP Drucker im Netzwerk zur Verfügung. Der Treiber muss an jedem Arbeitsplatz, der darauf drucken will, installiert werden.

Empfehlenswert ist die Variante "Lokaler Drucker" für den Druck sensitiver Dokumente und "Netzwerkdrucker als Serverfreigabe" für den Druck von größeren Volumina auf einem oder mehreren entsprechend schnellen Druckern.

Die Ausstattung der Schulen mit Druckern ist hierbei maßgeblich für die Anwendung.

3. Datensicherheits- / Security- / Policykonzeption

Auf Basis von Checklisten werden für die verschiedenen Systeme die Security- und Policy-Einstellungen festgelegt. Dabei wird zwischen restriktiven und halboffenen Einstellungen unterschieden. Ziel hierbei ist es, eine für die Schule effizient verwaltbare Systemumgebung zu schaffen.

Arbeitsstation (restrikive Policy)

Die Sicherheit der Arbeitsstation wird zum einen über Policies der ADS geregelt. Damit kann beispielsweise der Zugriff auf die lokale Registrierdatenbank verboten werden, der Start bestimmter Programme usw. Des weiteren wird durch die Mitgliedschaft in bestimmten Gruppen ermöglicht bzw. verboten werden,Treiber zu installieren oder Einstellungen in der Systemsteuerung zu verändern. Ein Virenscanner kann somit ebenfalls nicht deaktiviert werden.

Dem Benutzer können die Schreibrechte auf die lokalen Festplatten weitestgehend entzogen werden und der Zugriff auf das Diskettenlaufwerk und/oder CD-ROM gesperrt werden.

Lehrer /Verwaltung (halboffen)

Die Systeme für Lehrer und Verwaltung besitzen hierbei weniger Restriktionen. So erhält dieses System Rechte auf CD-ROM und Diskettenlaufwerke, um Daten einlesen zu können. Ebenso kann dieses System "Hauptbenutzer-Rechte" erhalten, um beispielsweise den Desktop oder die Uhrzeit des Systems ändern zu können.

Schüler (restrikiv)

Das Schülersystem erhält sehr wenig Rechte. Die oben aufgeführten Möglichkeiten werden ausgeschöpft und der Benutzer erhält somit nur stark eingeschränkte Rechte.

Server (restriktiv)

Durch die Berechtigungen auf Dateiebene wird der Zugriff auf Daten entweder erlaubt oder verboten.

Zusätzlich ist es empfehlenswert, auf dem Dateiserver ebenfalls einen Virenscanner vorzusehen. Somit erfolgt die Überprüfung auf Viren zweistufig. Die Virenscanner sollten eine Möglichkeit des automatischen Updates haben, was von den Marktführern angeboten wird. Der Server, der gleichzeitig auch der Domain-Controller, DHCP und DNS Server ist, sollte physikalisch nicht zugänglich sein, d.h. in einem eigenen Server-Raum stehen, der nur von berechtigten Personen betreten werden kann. Die Verwaltung der ADS kann von einem Arbeitsplatz mit den entsprechenden Rechten erfolgen. Zugriffe auf Dateiebene werden durch Freigaben und Rechte geregelt.

Datensicherung

Die Server werden - sofern vorgesehen - durch ein Bandsystem gesichert. Durch den Einsatz von ILCM kann jede Arbeitsstation und jeder Server sehr schnell im Fehlerfall wiederhergestellt werden. Die Datensicherung erfolgt durch das GFS-Prinzip als Vollbackup.

Das Backup erfolgt über Windows Backup. Es werden die Dateiablagen als vollständige Backups gesichert. Backup Jobs werden über den Zeitplandienst gesteuert.

Um sicherzustellen, daß das richtige Band eingelegt ist, ist eine Interaktion (Bestätigungsfenster) mit dem Backupverantwortlichen, vorgesehen. Die Verwaltung sowie das Wechseln der Sicherungsbänder erfolgt durch Personal der Schulen.

SYSTEMERSTBEREITSTELLUNG

4. Grundinstallation iLCM Custom Master System

Für die Steuerung der Prozesse bei der Erstinstallation von Systemen sowie typischen Betriebsszenarien wie das Wiederherstellen eines Systems oder das Softwareupdate kommt auf Basis eines Schulträgers je ein iLCM Custom Master System zum Einsatz.

In diesem werden rollenbasiert alle Benutzer-,Administrationsparameter sowie die benötigten Hard- und Softwarewarenkörbe schultypisch definiert.

Das System wird je Schulträger einmal an zentraler Stelle implementiert, wobei bei der Wahl des Standorts (Betriebsszenarien) die Anbindung an die Schulen berücksichtigt werden muß. Das iLCM Custom Master System kann sowohl beim Schulträger selbst als auch an Dritter Stelle betrieben werden.

Im Rahmen des Projektes erfolgt auf Basis des Bedarfes des Schulträgers bzw. der Schulen sowie der Betriebsszenarien eine Implementierung durch IT Consult.

Hierbei ist vorgesehen den Schulträger an zentraler Stelle mit einzubinden und einen Wissenstransfer über die Technologie sowie die Prozesse anzustoßen. Als Basis dazu werden die vorgesehenen Ansprechpartner des Schulträgers auf Basis des Trainings Kurstyp 2 zusätzlich qualifiziert.

5. Erstinbetriebnahme: Staging

Für die Erstausstattung im Projekt sind nach heutigem Wissensstand folgende Warenkörbe geplant und hier berücksichtigt:

Server:
1. Windows 2000 Server
2. Windows Backup
Client:
1. Windows 2000 Professional
2. Office 2000Internet
3. Explorer 5.5
4. Acrobat Reader
5. (Software die für eine Client Installation erforderlich ist)

Bei der Installation der Pakete wird davon ausgegangen, dass alle eingesetzten Pakete mit den aktuellen Patches und in deutsch aufgespielt werden.

Im Rahmen des Projektes "Schulen ans Netz" im Land Hessen wird davon ausgegangen, dass zusätzlich zu den oben aufgeführten Warenkorbpaketen schultyp-, altersstufen- und schulklassenspezifische Pakete benötigt werden.

Da die konkreten Anforderungen an die Pakete momentan nicht bekannt sind, kann bei dem entstehenden Bedarf, komplexe und Nichtstandardpakete umzusetzen und in den Erstinstallationswarenkorb zu integrieren, eine zusätzliche Auspreisung durch IT Consult erfolgen.

Der Ablauf des Stagings erfolgt in unten dargestellter Reihenfolge. Der Ablauf wird exemplarisch für eine Schule beschrieben und wiederholt sich entsprechend. Dabei wird vorausgesetzt, dass die schulseitigen Infrastrukturmaßnahmen (Netzwerk, ISDN) bereits durchgeführt sind

Auf Ebene der Schulträger erfolgt eine personalisierte Grundinstallation des iLCM Custom Master Systems sowie des dazu abgestimmten Webportals.

Mit Durchführung der Grundinstallation des zentralen iLCM Systems je Schulträger auf Basis eines iLCM Servicesystems erhält jeder Schulträger sein spezifisches System, abgestimmt mit dem von Ihm benötigten Warenkörben und Systemrollen.

Anmerkung : Das iLCM Custom Master System wird auf einer kundeneignen (Schulträger) Hardware mit Windows 2000 Server und SQL Server 2000 aufgesetzt.

Ablaufschritte:

Grundkonfiguration des iLCM Rollenmodells und Warenkorbdefinition
Lieferung des Servers durch Compaq zu IT Consult
Installation des Servers an zentraler Stelle durch IT Consult auf Basis iLCM
Lieferung und Aufbau des Servers durch Compaq in der Schule
Lieferung der Clients (ohne Installation) durch Compaq in die Schule
Einbindung der Systeme in die Infrastruktur durch Compaq (Aufstellen und Anschluss der Systeme)
Automatische Betankung der Clients auf Basis iLCM
Freigabe und Übergabe an Schule

6. Betrieb: Systemausfall und Wiederherstellung

Bei einem Systemausfall greifen folgende Szenarien zur Wiederherstellung.

Client:
- Hardwaredefekt
  
  Im Falle eines Hardwaredefektes wird das System durch Compaq getauscht. Sobald sich das System wieder aktiv im Schulnetz befindet wird es via. iLCM automatisch betankt.
  
  Dieser Betankungsvorgang kann in Abhängigkeit der gewünschten Leistungen, die durch die Schule eigenständig erbracht werden sollen, grundsätzlich wie folgt geregelt werden:
  1. Ausführung erfolgt durch einen Teilnehmer der Schule
  2. Vorgang wird von zentraler Stelle (Call Center) aus angesteuert
- Softwaredefekt (Betriebssystem-, Programmdateien gelöscht etc.)
  
  Im Falle eines Defektes, der auf einen Softwarefehler schließen lässt greift folgende Vorgehensweise zur Wiederherstellung:
  - Das System wird automatisch neu betankt (wie unter Punkt a, i). Sollte die Betankung negativ sein, wird von einem Hardwaredefekt ausgegangen und das Gerät wird durch Compaq ersetzt. Das Wiederherstellen des Gerätes geschieht dann gemäß Punkt a, i.
  - Sofern erkennbar, dass es sich um einen reinen Softwaredefekt handelt wird wie folgt verfahren. Das System wird automatisch via. iLCM betankt, wobei eine Wahlmöglichkeit wie folgt besteht:
Server:

Die Wiederherstellung der Server erfolgt je nach Serverkonzeption. Im Rahmen dieses Projektes wird davon ausgegangen, dass je ein Server in der Schule steht und als "staging" Server dient.

Sofern ein solcher Server ausfällt, greift folgendes Verfahren:
1. Der Server wird via. Master Server CD neu gebootet. Im Rahmen einer automatischen Installation wird der Server wiederhergestellt incl. der "iLCM Staging Umgebung". Sofern der Server nicht mehr bootfähig und wiederherstellbar ist, erfolgt ein Austausch des Systems durch Compaq.
2. Bei einem ausgetauschten System wird via. Boot CD der Server wiederhergestellt und in seinen Urzustand versetzt.
3. Nach einer Wiederherstellung werden notwendige Daten von der aktuellen Bandsicherung zurückgesichert. Zum Einlegen der CD und des Sicherungsbandes wird auf den schuleigenen PC Beauftragten zurückgegriffen.

LAUFENDER BETRIEB

7. Betrieb: Changemanagement / Softwareupdate

Neue Softwarepakete die für einen bestehenden Schulenwarenkorb im Sinne einer Erweiterung bestimmt sind, werden durch IT Consult erstellt und im iLCM für die Verwendung bereitgestellt. Dabei wird wie folgt unterschieden:

Pakete die eine hohe Installationsbasis haben
Pakete für wenige Einsätze oder Sonderpakete

Die Installation der Pakete erfolgt automatisch nach dem Prinzip des iLCM Self Service. Dabei bestehen folgende Wahlmöglichkeiten:

Ausführung erfolgt durch einen Teilnehmer der Schule
Vorgang wird von zentraler Stelle (Call Center) aus angesteuert

Das Bereitstellen von neuen Hardwarepaketen erfolgt nach dem gleichen Schema wie oben beschrieben. Die Anforderung erfolgt durch Compaq dann wenn z.B. eine neue Hardwareplattform geplant ist.

8. Bereitstellung neue Hard- und Softwarepakete

Aufgabe der IT Consult im Rahmen dieses Projektes ist es die benötigten Hard- und Softwarebasispakete (Container) bereitzustellen, die zur Installation kommen sollen.

Dies geschieht in einer solchen Weise, dass die Pakete nach Freigabe durch einen Schulträger via. ILCM automatisch über das iLCM Webportal den Schulen für die Installation zur Verfügung gestellt werden.

Je nach Wunsch können z.B. die Schulträger in den Vorgang der Paketausgestaltung mit eingebunden werden.

Für das Projekt "SaN" im Land Hessen werden nach heutigem Wissenstand folgende Pakete für die Systemerstbereitstellung konfiguriert, wobei die Konfigurations-merkmale auf die einzelnen Schultypen gemäß Konzeption abgestimmt sind.

Software
1. Windows 2000 Server
2. Windows 2000 Professional Workstation
3. Office 2000
4. Internet Explorer 5.5
5. Acrobat Reader 4
Hardware
1. Compaq Server ML370
2. Compaq iPAQ

Neue Softwarepakete / Erweiterung des bestehenden Warenkorbes

Softwarepakete, die im Rahmen der System Nutzungsdauer ergänzend benötigt werden, werden nach folgendem Muster bereitgestellt.

Ein Gremium (z.B. Schulträger im Land Hessen) das die Standardisierung von neuen Softwarepaketen betreut, gibt die vorgesehene Softwarepakete in einem ¼ jährlichen Turnus frei.

IT Consult erstellt auf Basis dieser benötigten Software die entsprechenden Basispakete und stellt diese nach Absprache und Freigabe den Schulen über das iLCM Web Portal zur Verfügung.

Damit für die Schulen ein flexibles Konzept bei der Zusammenstellung der neuen Softwarepakete gegeben ist stellen wir eine Kombination aus Paketen mit unterschiedlicher Komplexität der Software zusammen. Basistypen der Kombination sind:

Typ A (z.B. einfache Anwendungen, Shareware)
Typ B (z.B. Internet Explorer)
Typ C (z.B. Office 2000 )
Typ D (z.B. Oracle Designer, kaufm./ tech. Anwendungen)

Aus heutiger Sicht gehen wir bei dem Bedarf der Schulen von einer gemischten Warenkorbanforderung aus, wobei ein Großteil der Anwendungen beim Typ A zu erwarten sind.

Dem gemäß haben wir nach momentanem Kenntnisstand folgende Kombination mit insgesamt 5 Pakten gewählt:

Kombination: Typ A 3x, Typ B 1x, Typ C 1x

Die im Angebot berücksichtigte Mindestinstallationsbasis beträgt 10.000 Vorgänge je Kombination und Quartal.

Die Abrechnung der Paketbereitstellung erfolgt bedarfsgerecht und zeitnah je Vorgang.

Der Prozess der Bereitstellung entspricht dem Vorgang Changemanagement / Softwareupdate.

Für Softwarepakete die außerhalb des eigentlichen, von Compaq angebotenen Warenkorbes liegen wird ein Aufwand auf Dienstleistungsbasis angeboten.

Auf diesem Wege können dann z.B. auch exotische Hardwaresysteme mit dem Schulwarenkorb betankt werden (Voraussetzung: die HW ist aktuell genug).

9. iLCM Service Center / iLCM Call Center

Prozessunterstützung im iLCM Service Center

Durch das iLCM Self Service Prinzip können wesentliche Aufgaben wie das Wiederherstellen oder das Softwareupdate durch den PC Anwender oder PC Beauftragten der Schule / Schulträger eigenständig via. ILCM WEB Portal ausgeführt werden.

Das IT Consult iLCM Service Center bietet zusätzlich an, diese Leistungen auf Vorgangsbasis auszuführen. Das iLCM Service Center ist über eine zentrale Telefonnummer erreichbar und zu den schultypischen Zeiten besetzt.

Durchführen und Kontrolle von zentral gesteuerten Vorgängen im Rahmen von Systembereitstellung wie Erst- und Tauschbereitstellungen, Systemfreigaben und Rollen- Benutzeränderungen
Durchführen von Nachbetankungen, Softwareupdates, Systemwiederher-stellung
Auswertungen und / Monitoring (z.B. Erstellen von Assetmanagement-reports)

Support / Troubleshooting im iLCM Call Center

Um Anwender bei Fragen zu den von Ihnen eingesetzten Systemen zu unterstützen, bietet IT Consult zusätzlich die Möglichkeit eines zentralen Call Centers an. Dieses ist ebenso über eine zentrale Telefonnummer erreichbar und zu den schultypischen Zeiten besetzt. Die Verrechnung erfolgt auf Minutenbasis. Unterstützt werden:

Bedienung und Handhabung des iLCM Webportals
Fragen zu der in den Schulen eingesetzten Warenkorbsoftware
Fragen zu Infrastruktur, Hardware und Kommunikation

10. Assetmanagement

Im Rahmen des Piloten werden durch iLCM Informationen zu folgenden Assets in Form von Reports geliefert.

Lizenzen - Anzahl der installierten Softwarepakete pro Schule und Paket (gemäß iLCM Einrichtung)
Hardware Infos - Daten über die Hardwareausstattung pro System (Rechnertyp, Netzwerkkarte, Graphikkarte, Softwareabonnements - Anzahl der installierten Softwarepakete pro Schule und Paket gemäß iLCM Einrichtung)

Diese Informationen werden auf Basis einer Schule und / oder eines Schulträgers zusammengestellt. Bei Bedarf können auch zusätzliche Auswertungen gefahren werden.

11. Wissenstransfer / Training

Einweisung in das iLCM Web Portal

Ziel: Kennenlernen der Endanwenderfunktionen wie Softwareupdate, Systemwiederherstellen; Train the Teacher
Inhalte: iLCM Szenarien, Arbeiten mit dem Webportal, Systemtracking, Softwareupdate, Wiederherstellen, QuickIT Funktionen, Bestellen eines Neusystems mit Auswahl des Warenkorbes
Dauer: ½ Tag
Anzahl Teilnehmer min. 10- max. 12

iLCM PC Beauftragter Admin Training

Ziel: Kennenlernen der Betriebsszenarien, Konzeption, Prozesse und Technologien
Inhalte: iLCM Managementconsole auf Basis des PC Beauftragten Admin. Freigeben von Systemen, Warenkörbe erstellen, Projekte anlegen, Benutzer freigeben, Rollendefinition, Monitoring, Reporting, Wiederherstellung Server
Dauer: 3 Tage
Anzahl Teilnehmer min. 4 - max. 6

12. Infrastrukturspezifikationen

Für das Projekt sind folgende Rahmenparameter gegeben:

Anzahl Schulen : rund 1000
Anzahl Server je Schule: 1
Anzahl neue Clients je Schule: ca. 30 ohne Altbestandssysteme
Anzahl bestehende Clients je Schule: offen
Ein zentrales iLCM Custom Master System je Schulträger mit folgenden Komponenten:

Windows 2000 Server, IIS5

SQL Server 2000

Es wird von rund 20 gleichzeitigen Zugriffen durch Staging Dienste (Schulserver) ausgegangen. Ein Staging Dienst / Server versorgt dabei ca. 30 Clients. Die im Rahmen des Projektes benötigten Lizenzen, speziell für die Software werden seitens Compaq oder durch die Schulträger / Schulen beigestellt.

Die Logistik erfolgt durch einen Partner der Compaq

Alle Betankungsvorgänge sowie Wiederherstell- und Serviceszenarien werden remote ausgeführt und setzen mindestens eine 64 Kbit Anbindung voraus. (Ausnahme: Wiederherstellung des Server, da hier CD/Sicherungsband lokal einzulegen ist).

Über S@Z-Pakete Hewlett-Packard Company Fujitsu Siemens Deutsche Leasing
	Über S@Z
	Initiatoren

	Schulträger

	Programm-Management

	Lehrerqualifizierung

	Programm

	S@Z-Partner

	S@Z-Pakete