Kann der Domain-Administrator meine privaten Dateien sehen ?
 

Hallo,
ich habe folgendes Problem.
Ich komme gerade vom Elternabend der Handelsakademie, wo meine Tochter zur Schule geht.
Und zwar ging es bei der Diskussion darum, ob die Eltern einer Notebook-Klasse zustimmen.
So weit, so gut.

Leider gibt es dabei einen Hasenfuss, der mir überhaupt nicht schmeckt.
Und zwar werden die Eltern von der Schule gezwungen, ein Notebook mit folgenden Eigenschaften bereitzustellen.
Andernfalls ist man von der Notebook-Klasse ausgeschlossen.
Oder man kann die Arbeiten im Unterrricht nicht mitmachen.
Oder man kann die Schularbeit nicht auf dem Notebook schreiben.

Windows Xp SP3 Professional
oder
Windows Vista Business oder Ultimate
oder
Windows7 Professional oder Ultimate
Symantec Antivirus (wird von der Schule zur Verfügung gestellt)
Windows Office 2010 (ja, das steht wirklich so dabei, das gibt einem schon mal kein gutes Gefühl)

Die Begründung für diese Requirements ist, daß dort offensichtlich ein Domain Server in Betrieb ist, und alle, die nicht der Domain beitreten, werden beinhart von der Teilnahme am Netzwerk und daher auch von der Teilnahme am Unterricht in der Notebook-Klasse ausgeschlossen.

Angeblich brauchen sie das, weil sich ohne Microsoft Domain Server Viren auf dem Schulnetzwerk ausbreiten könnten :rolleyes:
Ich habe den Eindruck, daß es sich wieder mal um eine völlig unnötige Geldbeschaffungsaktion für Microsoft handelt.

Denn das heißt für mich, ich muss neu anschaffen:
Microsoft Upgrade Windows 7 Professional 32bit (Deutsch)
EUR 79,00
Microsoft Office Professional Plus 2010 32/64-bit Download (Deutsch)
59,00 EUR
Versand-, Verpackungs- und Bearbeitungskosten (inkl. USt): bis 3 kg € 9,90


Und das im Extremfall für alle 3 Kinder, denn jede dieser Lizenzen gilt genau für einen Rechner.
Empfohlen wurde mir gleich einen Business-Rechner mit inkludiertem Windows Professional zu kaufen.
Als Beispiel wurde dann ein Schüler genannt, der 1000 !!! Euro für das Business-Notebook bezahlt hat und das wird dort offensichtlich als völlig normal und angemessen angesehen. :rolleyes:

Damit wird mir wohl sowieso keiner helfen können.
Aber jetzt noch zu einem Detail, das mich ganz besonders beschäftigt.
Was passiert eigentlich, nachdem ich eine Professional-Version von Windows7 auf dem Notebook meiner Tochter installiert habe und sie tritt dann der Domain in der Schule bei ?
Hat dann nicht automatisch der Administrator des Microsoft Domain-Controllers Zugang zu allen privaten Daten auf dem Notebook meiner Tochter ?
Ich stell mir das nicht unbedingt angenehm vor, wenn da ein Admin alle privaten Bilder aller Schülerinnen in der Schule ansehen kann.

Ist meine Sorge berechtigt ?
Angeblich wird der Domain-Server eingesetzt für:
Netwerk Policy Server
Network Access Protection
Domain Isolation

Nur es ist doch so, daß ein Domain-Administrator automatisch Zugang auch zu allen privaten Daten auf den Rechnern innerhalb der Domain hat, oder nicht ?
Der Domain-Admin hat auch die volle Kontrolle über alle Rechner innerhalb der Domain, oder ?
Ich stelle mir nur vor, wenn da irgendjemand unberechtigt Zugang zum Domain-Controller hat, der kann da doch einiges anstellen auf den Rechnern, oder ?
Der kann sogar die Benutzer auf den Notebooks vollständig aussperren ?
Und er kann auch alle beliebigen Policies auf den Clients erzwingen ?

Ich habe wie gesagt kein sehr gutes Gefühl, wenn da die Rechner vollständig unter der Kontrolle eines Domain-Admins der Schule stehen.

Kann mir diesbezüglich jemand unter die Arme greifen, ob ich alles richtig verstanden habe ?
Nur damit ich genau verstehen kann, ob ich diesem Plan einer Notebook-Klasse unter diesen Bedingungen mit gutem Gewissen zustimmen kann.

Die einzige Möglichkeit gegen den Zugriff des Domain-Admins ist die Verschlüsselung der Daten auf den Clients.
Stimmt das so ?
Und wenn dann das Windows abstürzt und man hat den Verschlüsselungs-Code nicht separat gespeichert, dann sind gleichzeitig alle privaten und verschlüsselten Daten verloren ?

Danke,

Und was passiert, wenn der Domain-Controller einen Virus hat ?
Der hat doch Schreibrechte auf allen Clients, daß heißt mit einem Schlag wären alle Rechner aller Schüler versucht, wenn da mal was schief geht, weil der Admin die nötigen Security-Patches oder Anti-Virus-Updates nicht installiert hat ?

Als Bezugsquelle für die nötige Software wurde übrigens genannt:
http:\\www.acp.at/f3

Interessantes Detail am Rande:
Man beachte die interessante Schreibweise von Slash und Backslash.
Funktioniert natürlich genauso, aber wenn man im Internet eine Windows-mäßige Schreibweise verwendet, sagt das auch schon was aus.

Zum rein technischen System kann ich nichts sagen - damit kenne ich mich nicht aus.

Aber zu deinen Rundumschlägen gegen die Schule und MS: ich frage mich, warum du uns das sagst und nicht dem zuständigen Lehrer?

Hast du ihm deine Bedenken bezüglich der Privatsphäre mitgeteilt?

Hast du die Kosten ins Spiel gebracht?

Wie waren seine konkreten Antworten?

@LOM: Glaubst du es ist sinnvoll deine Kinder in eine Laptop Klasse zu geben?

Das wird eine riesige LAN party, vorallem da sich die Lehrer nichtmal halb so gut mit den Rechnern auskennen als die Kinder.

Es ist nicht lange her das ich Schüler war und das Schulnetzwerk war in den händen der Schüler ;)


Was sollen die Kinder mit den Laptops machen?
Den ECDL Führerschein?

Na, ja - vielleicht verhindern genau die strikten Vorgaben solche Unterfangen.

Auch hier ein "na, ja": zwei unserer Schüler haben gerade einen "Hacker"-Wettbewerb einer österr. Software-Firma gewonnen - trotzdem ist unser Schulnetzwerk noch intakt. Nicht alle nutzen ihr Wissen für kriminelle Tätigkeiten! ;)

... oder lassen sich nicht erwischen ;)

@LOM
üblicherweise greift der domain-admin nicht auf die lokal gespeicherten daten zu ... er kann allerdings so konfiguriert werden, dass er die benutzereinstellungen und -daten beim logout auf ein serververzeichnis repliziert ...
allerdings würden bei einbindung privater geräte da solche datenmengen zusammenkommen, dass dies der domain-admin schon aus pragmatischen gründen nicht tun wird ... ausschließen kann man es aber nicht :rolleyes:

IMHO finde ich die von der schule vorgegebene vorgehensweise auch etwas seltsam ... entweder die schüler bekommen ein gerät beigestellt, auf dem dann auch die policies des domänen-administrators zum einsatz kommenn oder sie verwenden private geräte, denen dann beim zugriff auf das schulnetzwerk nur eingeschränkte möglichkeiten eingeräumt werden (fileshares, internet-zugang) ...

ich würde jedenfalls niemals mein privates gerät mit meinen privaten daten in die firmenumgebung integrieren, wenn ich nicht selbst der administrator wäre :rolleyes: ...

Full ack!

Ja, eigenartig...

Wir haben ein Novell-Netzwerk mit vielen Windows-Rechnern aber auch vielen Linux-Maschinen. Die Schüler kommen mit ihren privaten Laptops und loggen sich als user mit dementsprechend geringen Rechten ein.

Probleme haben wir nur mit der Kapazität, da oft bis zu 1000 user im Netz sind...