Re: samba-anmeldescripte für lehrer/schüler
Ralf Gesel|ensetter schrieb:
>
> Am Sonntag 05 September 2004 04:59 schrieb Maximilian Wilhelm:
> > Das haengt ganz davon ab, *wo* er das Verzeichnis anlegen soll/kann/darf.
> > In seinem $HOME kann der User natuerlich machen was er will, und das ist
> > auch gut so; alles andere wuerde private Homes ad absurdum fuehren.
>
> Hallo,
>
> die Aufsichtspflicht die uns Lehrer in Verantwortung nimmt, wenn Schüler
> Dummheiten begehen, legt Forderungen nahe, dass jede Lehrkraft quasi
> Administratorrechte erlangen muss, um jede noch so lesegeschützte Datei
> einsehen zu können.
richtig - die Aufsichtspflicht legt das nahe, dass die Möglichkeit besteht.
ob man nun kontrollieren oder nicht ist eine ganz andere Frage und hängt
von der Situation an der Schule wie auch von den schülern in der Klasse ab.
Es geht darum, wenn es erforderlich ist, dann sollte der Lehrer auch die
Möglichkeit haben seiner Aufsichtpflicht nachkommen zu können. Ob er es denn
macht, muss er mit sich ausmachen. Ansonsten bleibt (bei problemen!) die
Verantwortung beim Admin hängen, weil er das falsche System gewählt hat.
> Nun, von diesem Ansatz halte ich deshalb nichts, weil ein Großteil des
> Kollegiums noch immer zu sorglos mit Zugangskennungen umgeht - bei über 100
> Kollegen, die teilweise ihren Account noch nie genutzt haben, wäre das Risiko
> zu groß, dass ein Schüler ein Lehrerkonto "hackt" und dann allerlei Unfug
> treibt.
das mag die Situation an der Schule sein. Aber es geht nicht darum, dass man
eine bestimmte Konfiguration nach dem Gusto von sonstjemanden auf alle Schulen
draufdrückt, sondern ein Schulserver sollte der Schule ermöglichen, _deren_
Sicherheits- und Aufsichtskonzept umzusetzen. Wenn eine Schule eben jeden
Lehrer volles Recht einräumen will (z.b. einer Schule für Schwererziehbare
in Bad Blankenburg) ist das doch sicher ganz anders als an einer Grundschule
wo eh nichts zu kontrollieren ist und es ist wieder ganz anders an den
Spezialschulen oder anderen Internatsschulen. Will damit sagen, es geht um
die _Möglichkeit_ die Aufsichtspflicht wahrzunehmen und zwar so wie es die
Schule für nötig erachtet und nicht wie ich oder du es denkt, wie es am
Besten sein müßte.
> Etwas anderes wäre es, den Status eines "Masterteacher"s einzuführen
> (entspricht fachl auf ODS IIRC), den ausgesuchte Kollegen erlangen können.
> Auch unter Windows NT an Samba/ODS war es möglich, Ordnerrechte so zu setzen,
> dass Lehrer die Dateien nicht einsehen können. Laufwerk U: (homes) war
> ohnehin nur für den Eigentümer und den Administrator einsehbar.
>
> M.E. sollte eher über andere Kontrollmechanismen nachgedacht werden.
> Protokolldateien über Downloads (Filter: Größe > 100k, Endung == exe|
> avi ...), Gefilterte Listen von Dateiverzeichnissen (find home0 -iname
> '*.exe") usw. Solche Log-Prozesse können unabhängig von den Rechten einzelner
> Kollegen erfogen und von ausgesuchtem Personal ausgewertet werden.
es gibt 2 Möglichkeiten: entweder ich habe Restriktionen die ich durchsetze
(z.b. keine exe-Files auf dem Tauschlaufwerk), dann brauche ich natürlich
nicht mehr kontrollieren. kann ich solche Mechanismen nicht umsetzen, dann
muss ich kontrollieren (können).
> Analog zur Sperrung bestimmer Internetseiten (Squidguard) könnten bestimmte
> Dateitypen (grep avi `file *`` ) automatisch gelöscht bzw. zur Speicherung
> gar nicht erst zugelassen werden.
genau.
Das Pflichtenheft war genau unter diesen Aspekt geschrieben worden. jeder
Dienst bzw. jede Ressource die bereitgestellt wurde, wurde daraufhin über-
prüft, ob es ein Risikopotential enthält und entweder Möglichkeiten für
restriktive Einstellungen oder/und Kontrollmöglichkeiten angegeben.
/"\
Mit freundlichen Grüßen \ / ASCII ribbon campaign
Hans-Dietrich X against HTML mail
/ \ and postings
Reply to: