Freigaben so realisierbar - Lösung für Schule

Status
Für weitere Antworten geschlossen.

alex_braun

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo, ich bin neu hier und hätte da mal eine Frage:

Folgendes Szenario möchte ich mit einer DiskStation umsetzen:

Zwei Benutzergruppen Lehrer und Schüler. Ein gemeinsames Laufwerk auf das nur die Lehrer Zugriff haben. Ein weiteres Laufwerk auf das die Lehrer Vollzugriff haben, von welchem aber die Schüler nur lesen können.

Bis hier hin sollte es kein Probem sein. Jetzt kommt allerdings der "Knackpunk". Vielleicht stehe ich auch nur auf dem Schlauch:

Außerdem soll jeder einzelne Schüler ein Verzeichnis haben, in das er standardmäßig speichert. Andere Schüler sollten auf diese Verzeichnisse keinen Zugriff haben. Im Gegensatz zu den Lehrern. Diese sollten Vollzugriff auf die Dateien des jeweiligen Schülers haben.

Eine meiner Überlegungen war, die "Home-Verzeichnisse" zu benutzen. Dazu müsste ich allerdings in der Rechtevergabe dieser Ordner "rumpfuschen".

Hat jemand eine Idee, wie sich das sonst noch realisieren lassen würde. Einen AD-Server würde ich mir gerne sparen...

Vielen Dank für eure Hilfe
Alex
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Einen Ordner anlegen LEHRER. Den sollen nur die Lehrer sehen und benutzen dürfen
Einen Ordner anlegen "ABLAGE". Hier bekommen die Lehrer Schreib und die Schüler Leserecht
Bis dahin alles banal.
An den Homeordnern herum zu spielen hat sich noch nie als gute Idee heraus gestellt.

Es macht zwar den Verwaltungsaufwand hoch, aber eine Lösung wäre in dem Ordner ABLAGE einen Unterordner SCHÜLER anzulegen.
Als nächstes könnten je für jeden Schüler ein eigener Ordner angelegt werden oder auch noch eine Ebene mit den KLassen dazischen geschaltet werden.
Jetzt greift die Vererbung der ACL.
Mit dem Anlegen eines Schülers werden die Schreib- und Leserechte auf diesen Schüler vererbt, passen so aber nicht. Jetzt macht man unter Eigenschaften die Rechte "ausdrücklich". Damit ist die Vererbung unterbrochen.
Nun muss man die Leserechte für alle Schüler löschen und dafür die Lese+ Schreibrechte für diesen speziellen Schüler setzen. Der Rest passt.
Mit den richtigen Einstellungen in der Syno sehen so die Schüler den Ordner LEHRER gar nicht und im Ordner ABLAGE nur die Lesebeiträge und unter SCHÜLER nur ihren eigenen Namen.
 

alex_braun

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Puh, ok, vielen Dank.

Bei knapp 400 Schülern wird das ein enormer Aufwand, aber hilft wohl nix.
 

Frieseba

Benutzer
Mitglied seit
27. Nov 2011
Beiträge
463
Punkte für Reaktionen
20
Punkte
24
OK, meine Schule hat 1700 Schüler... Den Arbeitsaufwand würde ich mir nicht antun. Ich nutze da "SNV" , was auf unseren Servern aufgespielt ist. Kostet zwar was, muss aber nicht ich bezahlen. Die Schüler haben ihr eigenes Laufwerk. https://inl.ag/schulnetzverwalter-snv/
 

alex_braun

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Ja, solche Lösungen kenne ich. Hab auch schon einige probiert. Habe nur oft Probleme mit grottenschlechtem Support. Teilweise sind auch die jährlichen Kosten so enorm hoch, dass es für kleine Kommunen einfach nicht drin ist.

Aber ich merke schon, dass hier die DiskStation mit der Benutzerverwaltung und Rechtevergabe einfach an die Grenzen stößt. Und gerade, dass man als Lehrer auf die Schülerdaten Zugriff hat, ist enorm wichtig.

Und selbst wenn ich eine DS mit der AD einrichte, das Problem bleibt das gleiche - denke ich.
 

hvkls

Benutzer
Mitglied seit
23. Dez 2012
Beiträge
463
Punkte für Reaktionen
0
Punkte
22
Hol lieber deinen Schulträger über ein mit ihm koordiniertes Medienkonzept mit ins Boot und lass ihn die ITK machen, während ihr euch auf die Lehre konzentriert. Als Brautgabe bietest du denen die Syno als Backup-Medium.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
@Frieseba: Kann dir nicht folgen. Hat die gute Fee euch die 1700 Schülernamen eingepflegt? Und Home Verzteichnisse für jeden Schüler stellt die Syno auch zur Verfügung. SNV ist nichts anderes als eine andere Oberfläche mit voreingestellten ACLs.

Deine Einschätzung ist richtig, das AD ändert nichts daran, dass die Homeverzeichnisse nicht einfach so für Dritte einsehbar sind. Natürlich kannst du die ACL anpassen, in dem du auf der Ebene "homes" eine neue Usergruppe "Lehrer" in der ACL zufügst und diese dann nach unten vererbst. Du musst nur daran denken, dass für jeden neuen Schüler zu wiederholen.
Dann benötigst du nur noch eine eigene Freigabe für den Ordner LEHRER den nur die Lehrer sehen dürfen.
Für den Lehrer ist es aber immer Schwerstarbeit um auf Schülerordner zuzugreifen, denn er muss durch alle Namen scrollen. Um das zu verhindern könnte man jedem Schülernamen eine Kennzahl voranstellen, gleiches Einschulungsdatum zB, dann sind diese immer im Block zu finden. Nachteil: Alle Lehrer können alle Schüler sehen.
Schöner aber aufwändiger wäre die Lösung eigener Ordner für Schüler und darin die Klassenhierarchie abzubilden.
Als nächstes zu jeder Klasse eine Lehrergruppe, welche nur die Lehrer enthält die zur Klasse gehören. Gruppen, damit die Inhalte(Lehrer) beliebig und schnell angepasst werden können.
Damit hat jeder nur Zugriff hat auf das was er sehen muss/soll, Lehrer sehen nur ihre Klassen und Schüler sehen nur sich selbst. Ein Prinzip in der Nutzerverwaltung und Zugriffsrechten.

Der Verwaltungsaufwand beim Schuljahreswechsel ist auch gering. In der Struktur lassen sich die Klassen einfach so umbenennen, an den Zugriffsrechten ändert das nichts.
Evtl könnte man sich auch von Klassennamen lösen undd statt dessen zB mit Jahrgangsnamen arbeiten, dann muss nie etwas verändert werden, ausser wechselnde Lehrer oder Schüler.
Ich halte das für durchaus händelbar, der Aufwand des Einpflegens aller Nutzer muss so oder so betrieben werden.

Im Schulbetrieb kann ich mir schon gut vorstellen, dass die Syno da gut rein passt.
Calendar für Termine
Notes für Infos
Chat vielleicht sogar für alle
und vor allem Shared Links für Schüler und Eltern
 
Zuletzt bearbeitet:

alex_braun

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Vielen Dank für deine Tipps. Würdest du Dir meine folgenden Überlegungen noch mal durchlesen? Nicht, dass ich wieder mal einen Denkfehler drin habe. Ich denke, ich werde es so angehen:

Zwei Benutzergruppen, Lehrer und Schüler. Zwei Ordner ebenfalls Lehrer und Schüler.

Der Ordner Schüler bekommt einen Unterordner: Klassen. In diesem sind Ordner der Klassen 5a bis 10a. In diesen Ordnern sind wieder Unterordner mit den jeweiligen Schülernamen.

Außerdem gibt es einen Ordner „Lehrertausch“. Auf diesem haben alle Lehrer, Lese- und Schreibrechte. Die Schüler haben hier keine Rechte.

Dann noch einen Ordner „Schülerablage“. Dort haben Lehrer, Lese- und Schreibrechte. Schüler können nur lesen. Dieser Ordner dient dafür, Schülern Dateien zur Verfügung zu stellen, die sie aber erst in ihren eigenen Ordnern speichern müssen.

Als letztes einen Ordner „Schülertausch“. Dort bekommen alle Schüler und Lehrer, Lese- sowie Schreibrechte. Gerade für Gruppenarbeiten müssen Schüler auch mal untereinander Daten austauschen können.

Den Lehrern würde ich den Home-Verzeichnis-Dienst aktivieren, so dass hier die Privatsphäre gewahrt bleibt und jeder sein eigenes Verzeichnis hat.

Bei den Schülern würde ich den Home-Verzeichnis-Dienst deaktivieren, es würde sie nur verwirren, wenn noch ein Verzeichnis auftaucht.

Nach reiflicher Überlegung werde ich die ganze Sache wohl doch über eine AD machen. So kann ich dann über RSAT und die Gruppenrichtlinien auch die einzelnen Ordner als Netzlaufwerken für die Benutzer mappen. Auch solche Sachen wie Systemsteuerung für Schüler sperren, wäre so machbar...

Habe die Möglichkeit, die Syno mindestens 2 Monate bevor die Umstellung passieren soll zu bekommen und mit einem Testrechner die ganzen Sachen aufzusetzen und ausgiebig zu testen...Und bis es soweit ist, dauert es noch ca. 6 Monate.

Wird schon klappen...
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Was den Schüleraustausch untereinender angeht, dafür brauchst du keine neue Freigabe sondern nur einen "Gruppenarbeit"-Ordner innerhalb jeder Klasse. Das verhindert den Zugriff von Fremdklassen.
Ist der Schüler in seinem Klassenordner sieht er dann 2 Verzeichnisse, sein eigenes und "Gruppenarbeit".

Die meiste Arbeit hast du mit den Gruppen, denn du musst die Freigaben auf zB die Klasse für alle Klassenmitglieder einrichten.
Es sind also alle Schüler zu erfassen
Dann die Schüler den Klassen zuzuordnen
Dann alle Lehrer erfassen
Danach die Lehrer einer Gruppe zur jeweioligen Klasse zuordnen.
Als letztes für jeden Schüler ein Ordner anzulegen, auf den nur der Schüler und die "Klassenlehrer" zugreifen können.

Das ist soviel Arbeit, dass es m.E. wichtig ist sich vorher Gedanken zu machen, wie man die Klassen und Gruppen abstrahiert bezeichnen kann, sonst geht nach jedem Schuljahr das Umbenennen oder verschieben los.
Man müsste also einer Klasse einen Namen geben, der bis zum Schulende nicht mehr verändert wird (man denke auch an die Freigaben und den ganzen ACL Rattenschwanz, der da dran hängt.
Gleiches gilt für den Namen der Lehrergruppe, die zu einer Klasse gehört. Der sollte auch immer gleich bleiben, die Namen in der Gruppe sind beliebig austauschbar.
Wie die Klassen/Gruppen nun heissen ist letztendlich egal, denn durch die ACL bekommen alle nur das zu sehen wofür sie freigeschaltet wurden.
An dieser Planung hängt die gesamte Folgearbeit für viele Jahre, sollte also wirklich durchdacht und arbeitsreduzierend geplant werden.

In Kurzform:
Definiere einen Klassennamen
Definiere einen Gruppennamen Schüler, wo der Klassenname Bestandteil ist
Definiere einen Gruppennamen Lehrer, wo der Klassenname Bestandteil ist
Diese Definitionen bleiben bis Schulende bestehen
Die Inhalte der Gruppen werden nur bei Schüler bzw. Lehrerwechsel angepasst.
Dann bleiben alle Freischaltungen/gemappte Laufwerke eines Schülers bis zum Schulende erhalten.

Wechselt jetzt ein Schüler die Klasse verschiebt man seinen Ordner in den anderen Klassenordner, dann Prüfung ob Vererbung stimmt und fertig. gemappte Laufwerke bleiben erhalten, weil die als Bezugspunkt immer die Freigabe Schüler haben und der Schüler dort nur sieht was für ihn freigegeben wurde. Alles andere ist ja ausgeblendet.

Ob du das nun nativ mit Synology machst oder per AD musst du entscheiden.
Ich habe die Erfahrung gemacht, dass AD nur wichtig ist, wenn ich mit meiner Anmeldung von verschiedenen PCs aus auf Server zugreifen muss. Wenn das bei dir der Fall ist gut, ansonsten reicht auch die ACL der Syno.
 

mavFG

Benutzer
Mitglied seit
06. Jan 2016
Beiträge
1.345
Punkte für Reaktionen
4
Punkte
58
ich sehe die Nutzung der DS in der Schulumgebubng recht kritisch:
- die DS sollte sehr gute Performance haben (gleichzeitger Zugriff)
- du solltest den Benutzern ein maximal Kontingent geben (400 Schüler haben schnell den Speicher voll)
- Datensicherheit nicht vergessen Raid zum einen, Backup der Ordner auf externe HDDs oder 2. Syno das andere
- Vergiss nicht, die Schüler sind nicht dumm - ergo Handy App auch Zugriff von "außerhalb" der Schule + Kontrolle der Daten??

Selbst eine DS918+ halte ich recht klein für die gewünschte Aufgabe. Dann noch die HDDs.. Lohnt sich vielleicht doch, das extern zu betreiben..
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Deinen Fragen kann ich gar nicht folgen.
Wenn du dich mal schlau gelesen hättest was externes Hosting kostet ist das bei den wie immer nur tröpfelnden Zahlungen für IT in den Schulen nicht vertraglich machbar, dazu müsste auch die dann teure Internetanbindung entsprechend performant sein.
Da bleibt nur selber machen, wenn das knowhow da ist, die Zeit und ein begrenztes Budget.
Und warum siehst du in der Schulumgebung die DS kritisch? Ist nichts anderes als ein beliebiger anderer Server mit GUI.
Habe ich was überlesen von einer DS918+?
Die würde ich auch als zu schwachbrüstig halten, ausserdem ist für ein derartiges Vorhaben von vorne herein stärkere Hardware gefordert als die kleinen SoHo Boxen von Synology.
4 Nw-Ports sollten schon vorhanden sein. Erforderliche Grösse der Festplatten können wir gar nicht abschätzen.
Das zu so einem Konzept auch ein Backup gehört ist eigentlich Teil der Leistungsbeschreibung, die ein Schulnetz haben muss. Ich glaube das muss der TE schon selbst im Griff haben, ist auch nicht Bestandteil seiner Fragestellung.
Und was soll das mit der App und Zugriff von Aussen? Zu so einem Vorhaben gehört auch ein abgenicktes IT-Sicherheitskonzept als Genehmigungsbestandteil. Ich denke mal dass wir hier im Forum da keinerlei Einblicke haben und es auch nicht Bestandteil des aktuellen Problems ist. Eigentlich ist es noch nicht mal Synology bezogen, denn die aufgeführte Problematik trifft auf jeden Server zu, der dort potentiell eingesetzt wird.
Der Vorteil der Syno ist ganz schlicht die einfache Bedienbarkeit. Ein angebrüteter System-Admin kommt damit schneller klar als mit einem aktuellen Windows Server. Schulen haben in der Regel keine ausgebildeten Admins. An irgendeinem engagierten Lehrer bleibt das dann hängen und der hat da auch noch einen Nebenjob.....
Insgesamt ein kompliziertes Umfeld.
 

alex_braun

Benutzer
Mitglied seit
12. Mrz 2019
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hm, also soweit sind meine Planungen noch gar nicht. Aber bevor ich eine DS, RS oder sonst was kaufe, muss ich doch wissen, ob es von der Ordner-, Benutzer-, und Freigabenstruktur so geht.

Ich weiß noch gar nicht welche DS oder RS es wird. Minimum wird es eine DS 918+. Ich tendiere aber momentan zur DS1618+. Wenn es die DS 918+ wird, plane ich 4x mind. 10 TB im RAID 5. Zusätzliche hätte ich zwei NVMe SSDs für den Lese- und Schreibecache eingeplant. Außerdem mind. 8 GB RAM.

Momentan haben wir 407 Schüler. Davon sind aber 198 Grundschüler welche wenig bis gar nicht an den Computern arbeiten. Dann bleiben 209 Mittelschüler übrig. Auch davon arbeiten nie alle gleichzeitig an der DS. Ich denke, die maximale Zahl der gleichzeitigen User wird, mit Lehrern, die 50 nicht übersteigen. Die 407 sind halt eben die max. Schülerzahl.

Schüler werden (nach jetzigem Stand) gar keinen Zugriff von Außen bekommen. Lehrer schon. Damit Unterrichtsvorbereitung hoch geladen werden können.

Die Filterung des Internets wird über ein DrayTek Modem mit BPjM gemacht, klappt an einigen Schulen mit denen ich in Kontakt stehe, ganz gut.

Backup ist über Hyper Backup und externe USB 3.0 Festplatten angedacht.

Unser Sachaufwandsträger hat wenig Geld. Da wird schon teilweise gemault, wenn ich einen W-LAN AP für über 100 € kaufe. Schließlich gibt es auch welche für 30 €...

Auch wenn es Fördergelder gibt, fließen die zuerst in solche Sachen wie flächendeckende LAN-Verkabelung.

Ich habe schon Erfahrungen mit speziellen Schul-Servern. Leider sind diese oftmals viel zu aufgeplustert oder sie bieten eben genau dass nicht, was man braucht.

Mein persönliches Highlight: Wir zahlen - an einer anderen Schule - knapp 400 € jährlich Server-Support, mit Fernwartung. Letztes Mal hat der Server keine Updates mehr gezogen. Lag an der Lizenzierung. Das beheben dieses Fehlers hat keine 10 Minuten gedauert, und hat uns 120 € gekostet. Weil diese Art von Fehler nicht im Supportpaket behinhaltet ist.

Sowas hab ich einfach satt... wenn ich auf eine DS gehe, bin ich wenigstens mein eigener Herr und dann wenigstens selbst schuld, wenn was nicht läuft.

@NFSH: Vielen Dank für deine super Tipps mit der Ordnerstruktur. Hat mich ein ganzes Stück weiter gebracht!
 
Zuletzt bearbeitet:

mavFG

Benutzer
Mitglied seit
06. Jan 2016
Beiträge
1.345
Punkte für Reaktionen
4
Punkte
58
Deinen Fragen kann ich gar nicht folgen.
Das tut mir leid für dich..
Dann erkläre ich es mal genauer: Ich stand mit der damaligen Grundschule meiner Tochter vor einem ähnlichen Problem.
Ich habe auf Klassenwunsch Dia-Shows und Co gemacht. Das kam leider so gut an, dass überlegt wurde, das nicht auf alle 4 Klassenstufen auszuweiten. Zentral in der Schule mit gesicherten Zugriff sowie Weitergaben von Links an die Eltern per eMail etc.
Ich bin (Gott sei Dank) nicht in der IT-Branche tätig, die Schule hatte noch weniger Plan.
Ich habe das damals abgesagt, da ich kein Admin bin (zeitlich unmöglich) und die Kosten weit über die des machbachen wären.
Meine Hinweise bezogen sich grundsätzlich darauf, auch die Folgekeosten bei so einem Projekt im Auge zu behalten. Macht wenig Sinn, ein Haufen Arbeit reinzustecken und an dem , wie du es nennst "immer nur tröpfelnden Zahlungen für IT" zu scheitern.
Die DS 918+ war nur ein Bsp. Für eine funtionierende Umgebung kommen ja auch USV, Netzwerk, sowie der Austausch der HDDs hinzu, auch die Internetanbindung, falls der Zugriff erwünscht ist..
Auch war ich, entgegen deiner Antwort der Meinung, dass hier bei den Fragestellungen alle Aspekte angesprochen werden, auch die die der TE vielleicht gerade nicht auf dem Schirm hat.
Keine Frage, eine Synology in der Schule ist schon machbar, jedoch mit größerem Aufwand als im Privaten Bereich. Auch wenn du (NSFH) dich da nicht angesprochen fühlst, viele kaufen sich eine DS, weil sie so einfach zu bedienen ist (auspacken, automatisch Einrichten, fertig), das klappt in der Schulumgebung nicht. - Ich glaube auch nicht, dass das auf den TE zutrifft. Es sollte aber angsprochen werden.
Am Ende kann ich es auch nur wiederholen:
Insgesamt ein kompliziertes Umfeld.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Es muss dir nicht leid tun ;)
Deine Anmerkungen verstehe ich schon, sehe aber in einer Syno für die Schule gar kein Problem, schliesslich gibt es die in wirlich leistungsfähigen Varianten.
Ich sehe den grossen Vorteil tatsächlich in der leichten Administrierbarkeit, wie ich oben schon geschrieben habe.
Wenn du ein Win Servernetz sicher und kompetent betreiben willst scheiterst du als "normaler" Schullehrer mit Basis IT-Kenntnissen. Im Problemfall bekommst du so ein System ohne Hilfe nicht mehr zum laufen.
Da bietet die Syno mit ihrer GUI und den vorgefertigten Apps erheblich mehr und vor allem schnell nutzbares Potential.

@TE: Ich würde dir auch unbedingt von der 918 abraten. Die 1618 bietet da schon mehr Potential, weniger wegen dem Speicherplatz sondern wegen der Netzwerkports. Achte auf Beschaffung von Switchen, die BOND nutzen können, evtl sogar auch wenigstens eine 10GB Schnittstelle haben.
 

Swedberg

Gesperrt
Mitglied seit
21. Apr 2020
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Synology write my essay
Hallo,
Ich bin Lehrer für digitale Kunst / Design und möchte meine Synology DS718 + als Dateiserver verwenden, an den meine Schüler ihre Aufgaben senden können. Ich möchte eine Dropbox erstellen, auf die 14 Schülercomputer (hauptsächlich Macs und einige Windows-Computer) zugreifen können, auf der Schüler Schreibberechtigungen, aber keine Leseberechtigungen haben.
 

Swedberg

Gesperrt
Mitglied seit
21. Apr 2020
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Sollte ich einen Dateianforderungslink in File Station verwenden?
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.411
Punkte für Reaktionen
755
Punkte
174
Ich würde mir das aus 2 Gründen gut überlegen:
Zum einen kann jeder, der über diesen Link verfügt, alles Mögliche auf Deine Syno laden. Wenn Du also nicht absolut sicher sein kannst, dass keiner Deiner Schüler aus Jux und Tollerei den Link an seine 450 Facebook-Freunde schickt, würde ich die Finger davon lassen, vor allem wenn der Link über längere Zeit und unbeschränkte Zugriffsanzahl offen ist.
Zum anderen sind Menschen beim Anmelden dann recht kreativ. Ich habe es selbst erlebt, dass, wenn die Regel lautet "Melde dich mit FAMILIENNAME VORNAME" an, ein und dieselbe Person sich mit
FANILIENAME VORNAME (das war der Plan)
VORNAME FAMILIENNAME
FAMILIENAME usw. anmeldet. Und da kommt es dann schon vor, dass ein User seine Daten dann in 4-5 Ordnern abgelegt hat, die Du dann zusammenführen musst.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat