Jeder Mitarbeiter der Schule, vom Lehrer bis zum Hausmeister, wird, sobald er Zugriff auf verteilte Daten wie Dateien oder Kalender benötigt, als Benutzer angelegt.
Weiterhin erhält jeder Benutzer automatisch ein E-Mail Postfach.

!!! Wichtig: Wird dieses E-Mail Postfach nicht benötigt,
kann es, um Lizenzkosten zu sparen, deaktiviert werden.
Zu einem späteren Zeitpunkt lässt sich das Postfach dann 
aktivieren und die Lizenz wird ab diesem Monat berechnet.

Im Moment haben wir folgende Gruppen vorgesehen. Jeder Mitarbeiter der Schule ist Mitglied in mindestens einer Gruppe:

1. Hausverwaltung
2. Referendare
3. Personalrat
4. Lehrer
5. Schule
6. Schulleitung
7. Sekretariat

Diese Gruppenstruktur ist vorläufig und sollte nochmals diskutiert werden. Es können auch noch weitere Gruppen hinzugenommen werden, was abhängig von der Schulgröße sinnvoll sein kann.

Rechte auf Objekte wie Datenverzeichnisse, E-Mail (Verteiler) Konten oder Kalender werden direkt über die Gruppenmitgliedschaften gesteuert.
Technisch ist es möglich, einzelnen Benutzern Rechte auf Objekte hinzuzufügen. Dabei ist aber daran zu denken, dass jede dieser Extraeinstellungen zu dokumentieren ist und von einer übergeordneten Stelle genehmigt werden muss. Diese Genehmigung wird damit Bestandteil der Dokumentation.
Das ist wichtig, weil wir in regelmäßigen Abständen über Scripte einen Ist-Soll Vergleich anstoßen werden und eine Differenz hier zu einem Alarm führen wird.

Wir richten uns hier weitgehend nach dem Vorschlag des Landes im Bezug auf edoo.sys. Unsere Änderungen sind Fett und in Klammern eingefügt:

Passwortregeln:

1. Das Passwort muss mindestens 8 Zeichen lang sein.
2. Das Passwort muss aus Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen bestehen; mindestens zwei (drei) dieser Anforderungen müssen umgesetzt sein.
3. Das Passwort darf keinem der letzten fünf verwendeten Passwörter entsprechen.
4. Voreingestellte Passwörter (z. B. die des Herstellers bei der Auslieferung des Systems) müssen bei der ersten Anmeldung durch individuelle Passwörter ersetzt werden.
5. Für Passwörter, die zwölf Monate alt oder älter sind, wird der Passwortwechsel vom System initiiert (daran arbeiten wir noch).
6. Nach fünf aufeinander folgenden fehlerhaften Passworteingaben für denselben Benutzer sperrt das System den Zugang hierfür. (Und gibt nach 30 Minuten den Login wieder frei)
7. Diese Sperrung kann nur der Administrator zurücksetzen.

Analog zur Gruppenstruktur haben wir in unserem Entwurf folgende Hauptverzeichnisstruktur vorgesehen:

1. Hausverwaltung
2. Referendare
3. Personalrat
4. Lehrer
5. Schule
6. Schulleitung
7. Sekretariat

Auch hier gilt, dass diese Verzeichnisstruktur unserer Idee von einer sinnvollen Einteilung entspricht. Wie die Verzeichnisstruktur im Ergebnis aussieht, wird Gegenstand der Diskussionen mit Ihnen sein.

Unterhalb dieser Verzeichnisstruktur können beliebige Unterverzeichnisse angelegt werden. So wäre beispielsweise ein Verzeichnis
-Schulleitung
→Personaldaten
möglich.
Hierbei, und das sollte für alle Unterverzeichnisse der Hauptverzeichnisse gelten, erbt das Unterverzeichnis die Zugangsrechte des Hauptverzeichnisses. Das heißt, diese Dateien sind für andere weder sichtbar noch im Zugriff.
Die Frage, die wir noch diskutieren müssen ist, wie wir auf sicherem Wege Daten aus einem Unterverzeichnis einem eigentlich nicht berechtigen zur Verfügung stellen können. Ob der Fall überhaupt relevant ist und ob nicht in dem Fall das Versenden der Daten intern über Mail genügt.

Grundsätzlich hat jeder Benutzer der virtuellen Schulverwaltung die Möglichkeit, den Exchange Server zu nutzen. Dazu muss das Konto im Exchange aktiviert sein.

!Bitte beachten: Wenn nichts anderes bei der Migration vom lokalen Netz in die "virtuelle Schulverwaltung
Vereinbart ist, wird der Exchange Zugang für jeden angelegten Benutzer aktiviert und wird damit abgerechnet.
Sollten Sie anderes wünschen, teilen Sie uns das bitte bei der Umstellung mir. Die Exchange Funktionalität 
kann aber später für den einzelnen Benutzer auch noch an- oder abgeschaltet werden.

Der Zugriff auf das Exchange Konto erfolgt über Outlook vom Terminalserver der virtuellen Schulverwaltung aus.

Von Funktionspostfächern sprechen wir dann, wenn eine definierte Gruppen von Personen gemeinsam eine Funktion besetzen ( z.B. Schulleitung) und als diese sowohl nach außen auftreten als auch von außen erreichbar sein wollen. Dabei muss gewährleistet sein, dass sie Einblick in alle Bereiche des Postfachs bekommen ( nicht nur „Posteingang“ sondern auch die „gesendeten Objekte“

In Outlook werden auch die Funktionspostfächer wie „Schulleitung“ automatisch in der Orderübersicht eingeblendet.
Eine Besonderheit ergibt sich jetzt für den Fall, dass eine neue Nachricht erstellt wird, die über das Funktionspostfach gesendet werden soll. Die dann notwendige Vorgehensweise ist im Endanwenderwiki dokumentiert.
Das Antworten auf eine an ein Funktionspostfach gesendete Mail funktioniert wie gewohnt.

Alle einem Funktionspostfach zugeordneten Benutzer haben Vollzugriff. D.h. sie können auch Mails löschen.

Wir schlagen für alle Schulen mindestens folgende Funktionspostfächer vor:

1. Info@
2. Schulleitung@
3. Sekretariat@
4. Administration mit den Aliasen: WEBMASTER, ABUSE, HOSTMASTER, POSTMASTER, SECURITY und falls oben nicht vorhanden, INFO

Ist der Benutzer für weitere Kalender freigeschaltet, muss er sich diese in Outlook hinzufügen. Die Vorgehensweise finden Sie auch hier im Endanwenderwiki dokumentiert.
Jeder Kalender hat zwei Kalenderadministatoren, die von der Schule zu benennen sind. Diese haben als einzige das Recht, Alle Kalendereinträge zu ändern oder zu löschen.
Alle anderen Kalenderbenutzer können nur ihre eigenen Einträge löschen oder ändern.

Möchte ein Benutzer ohne Kalenderrechte einen Eintrag setzten (beispielsweise ein Lehrer in den Schulkalender) muß dieser bei der Erstellung des Eintrags in seinen persönlichen Kalender den Schulkalender „einladen“.
Diese Einladung ist dann für den Kalenderadministrator sichtbar und muss von diesem bestätigt werden. Bei Bestätigung wird der Termin dann in den Schulkalender eingetragen.

Grundsätzlich erhalten Sie Erinnerungen nur für Termine in Ihrem eigenen Kalender. Das bedeutet, dass Sie Termine beispielsweise aus dem Schulkalender in Ihren persönlichen Kalender übernehmen müssen.
Die genaue Vorgehensweise hierfür finden Sie im Endanwenderwiki.

Die Handhabung von EPOS in den einzelnen Schulen ist nicht immer mit den Vorgaben des Landes und des Datenschutzes vereinbar.
Konkret hat das Land seinerzeit vorgesehen, dass nur die Schulleitung zugriff auf dieses Postfach hat und falls erforderlich, von dort aus Mails an beispielweise das Sekretariat weiterleitet.

Faktisch etabliert hat sich meist der umgekehrte Weg. Das Sekretariat sortiert die Mails vor, druckt diese aus und legt sie der Schulleitung in die Unterschriftenmappe.

In der virtuellen Schulverwaltung lösen wir das Problem so, dass wir zunächst von den Schulen die Zugangsdaten für EPOS einsammeln. Anschließend benennt die Schule, wer Zugriff auf EPOS bekommen soll und wer über das EPOS Konto auch senden darf. Beides kann getrennt gesteuert werden.
Die Vorgehensweise macht EPOS in so fern sicherer, als dass keine EPOS Kennwörter mehr in den lokalen Outlooks der Mitarbeiter vagabundieren und der Zugriff dezentral gesteuert wird. Außerdem wird hier dokumentiert, wer Zugriff auf EPOS hat und wer nicht.

Jede Schule sieht nur die Drucker, die lokal in ihrem Verwaltungsnetz stehen.

Wie an anderer Stelle erwähnt müssen die Drucker einer Schule folgende Eigenschaften besitzen:

1. Netzwerkanschluss
2. Zugangsdaten zu einem ggf. vorhandenen Webinterface müssen vorhanden sein
3. Der Hersteller des Druckers muss Univeraldruckertreiber zur Verfügung stellen

Sollte Ihre Schule "Druckeraccounting" (die Möglichkeit der Abrechnung der gedruckten Seiten
bei einzelnen Personen) verwenden, teilen sie uns dies bitte vor der Umstellung mit.
Diese Funktion gehört noch nicht zum Standard der Virtuellen Schulverwaltung. Wir müssen 
sehen, wie wir das implementieren

Der Drucker wird von uns angelegt nach folgender Systematik:

1. RPL Nummer
2. Modell
3. Raumnummer

Das bedeutet, wir brauchen vom Raum in dem der Drucker steht die Raumbezeichung! Alternativ müssten wir uns ein anderes Schema für die Druckernamen überlegen.

Jeder Benutzer kann nur die Druckaufträge löschen, die er auch abgesendet hat. Sollte es notwendig sein, die Druckaufträge anderer Nutzer zu löschen, informieren Sie bitte uns. Weiterhin kann er für seinen Ausdruck Einstellungen ändern, die sich aber nicht auf die allgemeinen Druckereinstellungen die für alle gelten auswirkt. Diese Änderungen behalten wir uns im Support vor.

In der Regel treffen wir in den Schulen selten auf reine Scanner. In der Regel ist die Scann Funktion in Multifunktionsgeräten (MFPs) eingebaut.

Wir werden für die einzelnen Benutzergruppen eigene Scanziele erstellen, die dann im Auswahlmenü der MFPs verfügbar sind:

• Scan_Sekretariat (Verzeichnis Scan im Ordner Sekretariat)
• Scan_Schulleitung (Verzeichnis Scan im Ordner Schulleitung; für vertrauliche und personenbezogene Daten)
• Scan_Alle (Verzeichnis Scan im Ordner Lehrer; Falls ein MFP im Lehrerzimmer steht und alles scannen sollen)

Wir speichern also innerhalb der Verzeichnisstruktur der Schulverwaltung alle Scanns eines Gerätes in einem Verzeichnis. Der Ort, an dem das Verzeichnis angelegt ist entscheidet, wer auf die Scanns Rechte hat.

Neben der Funktion, eingehende Faxe direkt auszudrucken, haben wir noch weitere Möglichkeiten:

• Das weiterleiten der Faxe an ein Verzeichnis (Vorzugsweise Sekretariat\Faxe)
• Das weiterleiten an eine E-Mail Adresse

Eines der Ziele bei der Entwicklung der virtuellen Schulverwaltung ist unter anderem, einen Best Practice Leitfaden für alle diejenigen Schulverwaltungen zu erstellen, die bisher noch keine wirkliche Struktur implementiert haben oder deren Struktur so verworren ist, dass sie nicht pflegbar ist. In letzterem Fall spricht man auch gerne von „gewachsenen Strukturen“. Sie können als Schule diesen Strukturen folgen, müssen es aber nicht oder nicht sofort.
Siehe dazu auch: