Ein wichtiger Schritt vor der Installation eines oder mehrerer Server in einer Schule besteht darin, eine auf die jeweilige Bedarfssituation zugeschnittene logische Struktur zu entwickeln. Falsche oder nicht situationskonforme Entscheidungen lassen sich oftmals nur durch eine komplette Neuinstallation des Serverbetriebssystems korrigieren. Daher muss dieser Planungsaufgabe eine große Beachtung geschenkt werden.

In den folgenden Ausführungen sollen zur Erleichterung dieses Planungsprozesses logische Strukturen aufgezeigt werden, anhand derer eine schulgeeignete Serverumgebung installiert werden kann. Diese Empfehlungen beruhen auf langjährigen Erfahrungen in vielen vernetzten Schulen.

Idealerweise gehen wir von zwei Windows-2000-Servern aus, die als Domänencontroller installiert werden. Die Netzwerkdienste werden auf die beiden Geräte verteilt. Sollte nur ein Server zur Verfügung stehen, so werden alle Netzwerkdienste auf diesem Gerät zusammengefasst.

Die Festplatte eines jeden Servers wird wie folgt partitioniert:

Partition 1: Bootfähige DOS-Partition mit FAT-32 und einer Mindestkapazität von 4 Gigabyte

Auf dieser Partition werden alle für die Serverinstallation benötigten Dateien, Treiber und Servicepacks gespeichert. Mit der DOS-Bootfähigkeit dieser Partition besteht die Möglichkeit, einen nicht mehr startenden Server von DOS aus zu reparieren. Weiterhin lassen sich von dieser Partition aus zeitgesteuerte Sicherungskopien des gesamten Servers erstellen (s. Desaster und Recovery-Techniken).

Partition 2: Windows-Systempartition mit NTFS und einer Mindestkapazität von 8 Gigabyte

Diese Partition nimmt das Betriebssystem Windows 2000 Server, sowie weitere Programme für den Netzwerkbetrieb (z.B. FTP-Server) auf.

Partition 3: Datenpartition mit NTFS und dem noch verfügbaren Plattenspeicher

Die im Netzwerkbetrieb anfallenden Daten werden in dieser Partition gespeichert. Die Verzeichnisstruktur dieser Partition wird weiter unten beschriebenen.

Während der Installation des Servers wird u.a. der Name des Servers und der Name der Windows-Domäne erfragt. Wir empfehlen folgende Namensgebung:

Servername: max. 12 Zeichen ohne Umlaute und Sonderzeichen (z.B. prs-srv01) Domänenname: max. 15 Zeichen ohne Umlaute und Sonderzeichen (z.B. prs.de)

Für eventuell vorhandene weitere Server wird die Nummerierung fortgesetzt (z.B. prs-srv02, ...).

Netzwerkprotokoll: Sinnvollerweise kommt heute nur noch TCP/IP zum Einsatz. Um sich einen möglichst großen Freiheitsgrad bei der Gestaltung der TCP/IP-Umgebung zu erhalten, empfehlen wir ein privates Netzwerk der Klasse A (z.B. 10.x.y.z) einzurichten. Der erste Server erhält die Adresse 10.x.y.250, weitere Server werden oberhalb angesiedelt (10.x.y.251, ....). Als Subnetzmaske wird die Standardvorgabe 255.0.0.0 verwendet. Besteht innerhalb der Gesamtinstallation die Notwendigkeit Teilnetze anzulegen, so kann dies über eine veränderte Subnetzmaske (z.B. 255.255.0.0) relativ einfach umgesetzt werden.

Nach der erfolgten Installation des Servers wird dieser im nächsten Schritt durch Installation des Active-Directory zum Domänencontroller heraufgestuft. Während dieses Vorgangs wird auf dem Server der DHCP- und der DNS-Dienst installiert.

Ein eventuell vorhandener zweiter Server wird nach der Basisinstallation in die existierende Domäne übernommen und im zweiten Schritt als zweiter Domänencontroller konfiguriert.

Folgende Netzwerkdienste werden benötigt:

Datenablage
FTP-Serverdienste - LANiS
Druckdienste
Internet- und ev. Maildienste
Virenschutz für das Netzwerk
CD-Rom-Server
Fernwartungszugriff
Softwareverteilung

Falls ein zweiter Server zur Verfügung steht, empfehlen wir, die Kommunikationsdienste (Internet- und Mailzugang), den CD-Rom-Serverdienst (z.B. Virtual-CD), den Fernwartungszugriff und die Softwareverteilungsmodule auf diesem zu installieren.

Eine der wesentlichen Aufgaben für den schulischen IT-Beauftragten besteht darin, eine für die jeweilige Schule angemessene Benutzer- und Datenverzeichnisstruktur zu planen und zu implementieren. Grundsätzlich können drei verschiedene Ansätze zum Tragen kommen, die jeweils verschiedene Vor- und Nachteile mit sich bringen. In den folgenden Ausführungen sollen diese drei Ansätze dargestellt werden. Dabei legen wir als Modell eine Schule mit insgesamt 54 Workstations zugrunde. Diese verteilen sich auf:

Als Workstationbetriebssysteme kommen Windows 98, Windows 2000 Professional oder Windows XP Professional zum Einsatz.

Das wesentliche Merkmal dieser Entwicklung beruht auf einer Trennung zwischen einer statischen und dynamischen Benutzerverwaltung. Statisch bedeutet in diesem Fall, dass innerhalb des Netzwerkbetriebssystems nur so viele anonyme Benutzer angelegt werden, wie auch Computer im Netzwerk vorhanden sind. Zusätzlich können für die Lehrerinnen und Lehrer personalisierte Benutzerkonten angelegt werden. Für unsere Modellschule bedeutet dies konkret:

Rechnernamen:

Die Rechner erhalten Namen, die auch ihren Standort widerspiegeln.

Raum 1:
R01PC01 ... R01PC16, der Lehrerarbeitsplatz erhält den Rechnernamen R01PC00

Raum 2:
R02PC01 ... R02PC16 der Lehrerarbeitsplatz erhält den Rechnernamen R02PC00

Bibliothek:
BIBPC01 ... BIBPC04

Lehrerzimmer:
LZPC01 und LZPC02

Klassenräume:
K1PC01 .... K10PC01

Naturwissenschaften:
PHYPC01, BIOPC01, CHEPC01

Administratorplatz:
ADMINPC

Diese Namen sind nicht zwingend und können in der jeweiligen Schule auf die eigenen Bedürfnisse zugeschnitten werden.

Benutzernamen:

In der Benutzerverwaltung des Active-Directory werden nun genau 54 anonyme Benutzer in mehreren Organisationseinheiten (OU) angelegt.

OU R01:
R01U01 ... R01U16 sowie R01U00 für den Lehrerarbeitsplatz

OU R02:
R02U01 ... R02U16 sowie R02U00 für den Lehrerarbeitsplatz

OU Bibliothek:
BIBU01 … BIBU04

OU Lehrerzimmer:
LZU01 und LZU02

OU K1:
K1U01

OU K2:
K2U01

...
...

OU K10:
K10U01

OU Nawi:
PHYU01, BIOU01 und CHEU01

Auch hier gilt, dass die obigen Namen nur empfehlenden Charakter haben. In jeder Organisationseinheit wird eine zusätzliche Gruppe (globale Sicherheitsgruppe) angelegt, in der alle User der jeweiligen OU eingefügt werden. Der Gruppenname sollte sich an dem Namen der OU orientieren (z.B: GG_R01 für die OU R01). Für alle anonymen User wird in dem Benutzerprofil festgelegt, dass sie sich nur an einer bestimmten Workstation anmelden können, wobei die Zuordnung zwischen PC und User aufgrund der Namensgebung leicht einsichtig ist – User R01U01 kann sich nur an der Workstation R01PC01 anmelden. Weiterhin wird in dem Profil ein Zugriff auf ein „Homelaufwerk“ mit dem Buchstaben H: definiert. In diesem „anonymen“ Laufwerk hat der jeweilige User und alle Lehrerinnen und Lehrer Änderungsrechte, der Administrator besitzt Vollzugriffsrechte. Die Anmeldevorgänge der anonymen User an den Workstations sollen automatisch ablaufen. Dies kann durch Installation der Systemsteuerungserweiterung TWEAKUI (von Microsoft) auf den Workstations und dem entsprechenden Eintrag innerhalb von TWEAKUI bei dem Reiter Logon erreicht werden. Die anonymen User haben kein Passwort und können diesen Status auch nicht verändern. Eventuell können die Konten der anonymen Lehrer (z.B. R01U00) mit einem Passwort versehen werden. Dieses muss allen Lehrerinnen und Lehrern, die die Computerräume nutzen wollen, mitgeteilt werden.

Falls eine Entscheidung für personalisierte Benutzerkonten für die Lehrerschaft getroffen wurde, werden für alle Lehrerinnen und Lehrer, die regelmäßig mit den Computern arbeiten, Benutzerkonten mit Benutzernamen, Passwort und eigenem Home-Laufwerk angelegt. Diese Lehrer werden in einer eigenen Organisationseinheit OU LEHRER und in einer darin befindlichen Gruppe GG_LEHRER zusammengefasst.

Allen anonymen Usern werden über das Userprofil und einem LOGON-Script bestimmte Netzwerklaufwerke mit bestimmten Rechten zugeordnet. Für die Arbeitsplätze in den Computerräumen sind dies:

H:\ Homelaufwerk des anonymen Users
Änderungsrecht für den User

P:\ CD-Rom-Server oder CD-ROM-Verzeichnis
Leserecht für den User

R:\ Tauschverzeichnis für diesen Raum
Änderungsrecht für den User

S:\ Schultauschverzeichnis (für alle Rechner in der Schule)
Änderungsrecht für den User

V:\ Vorlagenverzeichnis (für alle Rechner in der Schule)
Leserecht für den User

Falls in dem Netzwerk ein Softwareverteilungstool (z.B. NetInstaller) eingesetzt wird, ist ein weiteres Laufwerk notwendig.

X:\ Verzeichnis mit den Softwareinstallationspaketen
Leserecht für den User

Die Lehrer (anonyme und personalisierte) erhalten über ihr Profil und LOGON-Script folgende Laufwerkszuordnungen:

H:\ Homelaufwerk des Lehrers
Änderungsrecht für die Lehrerinnen und Lehrer

K:\ Übergeordnetes Schülerhomeverzeic hnis
Änderungsrecht für die Lehrerinnen und Lehrer

P:\ CD-Rom-Server oder CD-ROM-Verzeichnis
Leserecht für die Lehrerinnen und Lehrer

R:\ Übergeordnetes Raumtauschverzeichnis für alle Räume
Änderungsrecht für die Lehrerinnen und Lehrer

S:\ Schultauschverzeichnis (für alle Rechner in der Schule)
Änderungsrecht für die Lehrerinnen und Lehrer

V:\ Vorlagenverzeichnis (für alle Rechner in der Schule)
Änderungsrecht für die Lehrerinnen und Lehrer

X:\ Verzeichnis mit den Softwareinstallationspaketen
Leserecht für die Lehrerinnen und Lehrer

Die Administratoren haben in allen Verzeichnissen Vollzugriffsrechte. Durch die Möglichkeit, über die Gruppenrichtlinien die Sicht auf Netzwerklaufwerke zu verbergen, ohne ihre Verwendbarkeit einzuschränken, können bestimmte Laufwerke (z.B. P:\ und X:\) aus der Explorersicht ausgeblendet werden.

Die Homeverzeichnisse aller anonymen User, sowie die Raumtauschverzeichnisse und das Schultauschverzeichnis werden in regelmäßigen Zeitabständen (ev. jede Woche oder jeden Tag) automatisch geleert. Ein entsprechendes Tool (CleanRos), das nach einer einmaligen Auswahl der zu säubernden Verzeichnisse diese Aufgabe erfüllt, gehört zum Lieferumfang des LANiS-Paketes. Durch Anbindung des Programmstarts von CleanRos an den Scheduler-Dienst des Servers kann die zeitliche Abfolge des „Säuberungsdienstes“ genau definiert werden.

Die Verzeichnisstruktur auf der Serverplatte sollte wie folgt gegliedert werden:

Die Verzeichnisfreigaben werden alle mit dem $-Zeichen abgeschlossen, um sie in der Netzwerkumgebung zu verbergen.

Zusätzlich zu diesem relativ statischen, an das Netzwerkbetriebssystem gebundenen Benutzerbereich, der nur bei Änderungen in der Lehrerschaft oder bei Veränderungen im Maschinenpark modifiziert werden muss, wird ein dynamischer Userbereich aufgebaut, der auf dem Einsatz eines lokalen FTP-Server-Programms beruht. Dieses Konzept bietet die Möglichkeit, in dem FTP-Bereich (s. obiges Bild - Festplattenstruktur - FTP) mit geringem Aufwand Benutzer mit Benutzernamen und Passwort einzurichten und diesen einen eigenen Speicherbereich (Home-Laufwerk) zuzuweisen. Auf diesen Speicherbereich können die Benutzer nach einer entsprechenden Anmeldung in der gleichen Weise zugreifen, wie sie das von Windows gewohnt sind. Dies bedeutet, dass ein Laufwerksbuchstabe mit dem FTP-Speicherbereich verknüpft wird. Insbesondere ist es damit möglich, dass bis zu drei Personen, die gemeinsam an einem Computer arbeiten, zur gleichen Zeit auf ihre persönlichen Daten (ihr Home-Laufwerk) zugreifen können.

Durch eine Übernahme von schülerspezifischen Daten (Vorname, Nachname und Klasse) aus der LUSD oder einer vergleichbaren Schülerverwaltung können bei Bedarf alle Schülerinnen und Schüler einer Schule mit geringem Aufwand im FTP-Management angelegt werden.

Die vom Support-Center zur Verfügung gestellten Programme für dieses Modul erlauben die dynamische Benutzerverwaltung auch an solche Personen zu übertragen, die „nur“ über PC-Grundkenntnisse verfügen.

Zur Realisierung dieser dynamischen Benutzerverwaltung können hessische Schulen von dem Support-Center im Hessischen Landesinstitut für Pädagogik (HeLP) ein komplettes Programmpaket kostenlos anfordern.

Diese entspricht weitgehend der im vorigen Abschnitt beschriebenen Benutzer- und Verzeichnisstruktur, wobei auf den Einsatz des FTP-Servers verzichtet wird. Dieses Vorgehen lässt jedoch eine gesicherte personenbezogene Speicherung von Dokumenten (mit Ausnahme einer Diskettenspeicherung) nicht zu.

Bei den personalisierten Strukturen unterscheiden wir zwei mögliche Modelle:

Im ersten Fall, hier „gruppen-individuell“ genannt, wird für jede Lerngruppe eine Gruppenstruktur mit enthaltenen Gruppenmitgliedern auf dem Server angelegt. Es gibt innerhalb jeder Gruppe genau so viele Gruppenmitglieder, wie es Rechner für die Gruppe gibt. Die Schülerinnen und Schüler nehmen für die Dauer des Kurses die Identität dieses Gruppenusers an. Entsprechend melden Sie sich zur Arbeit mit einem Benutzernamen an, der aus einer Kombination aus Gruppenname und Platznummer besteht. Dieses Verfahren der Verwaltung von Usern hat den Vorteil, dass eingerichtete Gruppen im nächsten Jahr erneut verwendet werden können, da z.B. der Wahlpflichtkurs 9 im nächsten Jahr einfach mit einer neuen Schülergruppe und unter Umständen veränderten Inhalten weiterläuft. Eingriffe in die Verwaltungsstruktur sind nur notwendig, wenn sich die Anzahl der Rechner im Fachraum erhöht oder neue Gruppen geschaffen werden müssen. Aus der Sicht des Administrators ist diese Struktur vorteilhaft, weil nach einer Ersteinrichtung der Gruppen nur minimale Wartungsarbeiten an den Gruppen notwendig sind. So müssen zum Ende des Schuljahres nur die Datenbereiche der Gruppen für das neue Schuljahr gesäubert werden. Es ist sinnvoll, dass diese Arbeit vom jeweiligen Kursleiter in der letzten Unterrichtswoche durchgeführt wird und der Administrator nur noch stichprobenartig kontrolliert. Aus der Sicht der Schüler hat diese Verwaltungsstruktur den Nachteil, dass sie mit jedem Wechsel des Unterrichtsfaches in eine andere „Identität“ wechseln müssen. Weiterhin ist für jedes Unterrichtsfach eine erneute Anmeldung notwendig. Eine Beschreibung zur Einrichtung dieser „Gruppenstruktur“ sowie die notwendige Software zur Anlage der Verzeichnisstruktur und der Serverfreigaben finden Sie unter http://help.bildung.hessen.de/support/NT/useman

Eine weitere wenn auch wesentlich aufwändigere Verwaltungsstruktur ist die Anlage eines jeden Schülers der Schule als Individuum im Active Directory. Dazu ist ein Massenimport aller Schülerinnen und Schüler sowie aller Lehrerinnen und Lehrer die einzig sinnvolle Variante, da die Dateneingabe per Hand für eine große Zahl von Individuen kaum zu leisten ist. Für diesen Massenimport sollte ein Export der Schülerdaten aus der LUSD – Schülerdatei ( » www.lusd.de) -- verbunden mit einem geeigneten Massenimporttool, zum Beispiel mit dem Programm NTMUM ( » http://ms-aic.teco.uni-karlsruhe.de/dsmdoc/doku322.htm) eingesetzt werden.