Durch die für die Fachbereiche verbindliche IT-Sicherheitsrichtlinien der FU Berlin¹⁾ einerseits und der seit dem 1.12.2009 gültigen Vereinbarung zur Errichtung eines gemeinschaftlichen IT-Dienstes des Fachbereichs Mathematik und Informatik und des Fachbereichs Physik der Freien Universität Berlin²⁾ andererseits, muss das Betriebskonzept für Windows Arbeitsplatzrechner am Fachbereich Physik neu strukturiert werden.

Bisher wurden Windows Rechner am Fachbereich Physik entweder in einer der beiden Windows-Domänen PHYSIK oder WIN installiert oder als Einzelplatzrechner mit lokalen Administrator-Rechten betrieben. Es wurden teilweise Rechner von der IT-Abteilung installiert und anschliessend an Gruppen zur Selbstadministration übergeben. Vielfach wurden auf Rechnern in den zentralen Domänen lokale Administratorrechte vergeben, um es den jeweiligen Benutzern zu erlauben, Software bei Bedarf nachzuinstallieren. Diese Praxis hat zu einer unübersichtlichen Situation in den Domänen geführt, so dass von zentraler Verwaltung der Windows-Rechner am Fachbereich Physik nicht wirklich die Rede sein kann.

Unter einer Windows Domäne versteht man einen Zusammenschluss von Rechnern, die eine Vertrauensstellung zueinander haben und auf gemeinsame Ressourcen zugreifen. Die Domäne wird von sogenannten Domain Controller Servern verwaltet. Benutzer in der Domäne können sich in der Regel an allen Rechnern der Domäne mit ihren Zugangsdaten anmelden und finden überall gleichermaßen ihre Daten vor (Arbeitsplatz, Eigene Dateien). Sie können ohne weitere Eingabe von Passwörtern auf Dienste zugreifen (Fileserver, Printserver). Alle beteiligten Systeme können jederzeit die Authentizität eines Benutzers überprüfen. Über sogenannte Gruppenrichtlinien können Einstellungen auf allen Rechnern in einer Domäne einheitlich gesetzt und verändert werden. Software-Updates können für alle Rechner der Domäne zentral eingespielt werden. Für die zentrale Verwaltung einer größeren Zahl von Windows-Rechnern ist der Betrieb einer Windows-Domäne ohne Alternative.

Als eine Konsequenz der neuen IT-Richtlinien an der FU sind alle Benutzerdaten an die ZEDAT übertragen worden. Dieser Prozess ist am Fachbereich Physik in der Zwischenzeit fast abgeschlossen. Die ZEDAT betreibt eine Windows-Domäne (FU-BERLIN) in der jeder ZEDAT-Benutzer automatisch aufgenommen wird. Es ist technisch nicht möglich, die bestehenden Domänen der Physik an die ZEDAT-Domäne anzuschließen. Da die Benutzerdaten in der ZEDAT lagern und dort auch die Domain Controller verwaltet werden, bestehen nur zwei Möglichkeiten für eine neue Domäne am Fachbereich Physik:

• alle Windows-Rechner könnten in die FU-BERLIN Domäne aufgenommen werden. Dies würde dazu führen, dass nicht nur die Benutzer, sondern auch die Rechner von der ZEDAT verwaltet würden, was auch entsprechende Kosten pro verwalteten Rechner nach sich ziehen würde.

• eine flexiblere Möglichkeit besteht in einer Unterdomäne der FU-BERLIN Domäne. Gruppenrichtlinien und die Verwaltung der Rechner selbst bleiben damit in Hand der IMP-IT.

Diese zweite Möglichkeit wurde mit der IMP (Informatik/Mathematik/Physik) Domäne umgesetzt, deren Domain Controller in der IMP-IT betrieben werden. Allerdings obliegt die Benutzerverwaltung auch hier weiterhin der ZEDAT und es gelten in der IMP Domäne bezüglich der Benutzer die Richtlinien der FU-BERLIN Domäne.

Eine Richtlinie in der FU-BERLIN Domäne (und damit auch der IMP Domäne) lautet: es gibt keine lokalen Administrator-Rechte. Dies ist eine Auslegung der IT-Sicherheitsrichtlinie (M1.6, M1.7, M2.10) und wird in dieser Form vom CIO-Gremium (oberstes beschlussfassendes IT Gremium der FU) unterstützt (Antwort des Kanzlers auf ein Anschreiben der ZEDAT vom 15.1.2006).

Es gibt in Ausnahmefällen erweiterte Rechte in Form von zusätzlichen Domänen-Accounts, denen auf dem jeweiligen Rechner Administrator-Rechte eingeräumt werden, und zwar für Entwickler, die aufgrund betriebssystemnaher Programmierung Administratorberechtigungen benötigen. Es ist daher für den Benutzer eines Rechners in der IMP-Domäne nicht möglich, beliebige Software zu installieren.

Um es Benutzern trotz fehlender Administrator-Rechte zu ermöglichen, Programme auf ihrem Rechner zu installieren, wird ein SCCM Server zum Einsatz kommen. Der Benutzer kann die gewünschte Software aus einer Liste auswählen. Die Installation erfolgt dann automatisch. Die entsprechenden Software-Installer müssen zuvor auf dem SCCM-Server eingepflegt werden.

Der SCCM-Server übernimmt auch die Neuinstallation aller Rechner, die anschließend von ihm verwaltet werden. Desweiteren können sicherheitskritische Programme wie Webbrowser oder Virenscanner durch den SCCM auf allen Rechnern der Domäne aktuell gehalten werden. Die bisherige automatische Windows-Installation wird hierdurch abgelöst und nicht weiter betrieben.

Um die Menge an einzupflegenden Software-Paketen und den damit verbundenen Aufwand abschätzen zu können, benötigt die IT-Abteilung von allen Arbeitsgruppen Listen der benötigten Programme. Es ist nicht davon auszugehen, dass restlos alle Software über den SCCM verwaltet werden kann, aber für einen sehr großen Teil der Programme wird dies möglich sein.

Da die oben genannten Regeln für Meßrechner und Rechner, die die notwendigen Sicherheitsanforderungen nicht erfüllen, nicht umsetzbar sind, werden diese Rechner nicht in die IMP-Domäne aufgenommen, sondern in ein abgesichertes Netz (SecNet) verlegt. Dort werden dann lokale Administrator-Rechte vergeben. Wie bereits in der Vergangenheit praktiziert werden SecNet Rechner von den Nutzern, die über die entsprechenden Administrator-Rechte verfügen, installiert und selbstverantwortlich verwaltet. Auch im SecNet gelten die Grundsätze des ordnungsgemäßen Betriebs, wie sie in der IT-Sicherheitsrichtlinie niedergelegt sind. Die IT-Abteilung behält sich das Recht vor, Rechner in das SecNet zu verschieben, sofern diese offensichtlich nicht den geforderten Sicherheitsanforderungen entsprechen. Normale Arbeitsplatzrechner können wegen der stark eingeschränkten Firewallregeln im SecNet nicht sinnvoll betrieben werden.

Gespräche mit der AG IT-Sicherheit (deren Rolle in Kapitel 1.3 der IT-Sicherheitsrichtlinie festgelegt ist) haben ergeben, dass ein Fachbereich durchaus entscheiden kann, dass ein Teil der Rechner durch die Arbeitsgruppen selbst verwaltet werden darf. An dieser Stelle soll noch einmal nachdrücklich darauf hingewiesen werden, dass das CIO-Gremium die Eigenadministration von Rechnern durch die Nutzer für nicht wünschenswert erachtet. Sollte sich eine wissenschaftliche Arbeitsgruppe trotzdem dafür entscheiden, ihre Computersysteme selbst zu verwalten, ist der ordnungsgemäßen Betrieb im FU-Netz gemäß der IT-Sicherheitsrichtlinie zwingend notwendig. Es gelten folgende Regeln:

• Der Arbeitsgruppenleiter muss einen Mitarbeiter (oder sich selbst) benennen, der die Verantwortung für die selbstadministrierten Rechnersysteme trägt und den ordnungsgemäßen Betrieb entsprechend der IT-Sicherheitsrichtlinie garantiert.
• Bei Urlaub oder Abwesenheit ist ein Vertreter zu bestimmen.
• Die Rechner werden von der Arbeitsgruppe installiert und gewartet.
• Auftretende Probleme der Gruppenmitglieder mit den Rechnern werden von der Arbeitsgruppe selbst gelöst.

Die Verwaltung von Windows-Rechner ausserhalb der IMP-Domäne kann nicht von der IT-Abteilung übernommen werden, da sie dazu neben dem Betrieb der IMP-Domäne mit einer sehr großen Anzahl von Softwarepaketen personell nicht in der Lage ist. In der Regel wird die IT-Abteilung helfen wo es geht, so wie sie es bereits in der Vergangenheit der Fall war, allerdings ohne Prioritätsanspruch. Unter Aufgabe der lokalen Administrator-Rechte kann eine Aufnahme selbstadministrierter Rechner in die IMP-Domäne jederzeit erfolgen.

Die Abgabe der Benutzerverwaltung an die ZEDAT ist vor allem eine Vorgabe des Präsidiums. Ziel ist u.a. dass jeder Mitarbeiter an der FU eine eindeutige Nutzerkennung bekommt, mit der er auf alle notwendigen Dienste zugreifen kann. Die zentrale Benutzerverwaltung ist eine wesentliche Voraussetzung für die effizienten Nutzung zentraler Dienste und damit für die angestrebte Zentralisierung der IT-Strukturen an der Freien Universität.

Durch eine zentrale Benutzerverwaltung wird sichergestellt, dass sich alle beteiligten Systeme darüber verständigen können, welche Person sich hinter einer angegebenen Benutzerkennung verbirgt und diese auch anhand eines Passwortes authentisieren kann. Für die gemeinsame Nutzung von IT-Resourcen der Mathematik/Informatik und der Physik ist ebenfalls eine gemeinsame Account-Basis notwendig. Daher wurde im vergangenen Jahr die Benutzerverwaltung an die ZEDAT übertragen. Eine Folge hiervon ist, dass es auf den Systemen der Physik-EDV keine Passwörter mehr gibt, so dass die Authentisierung der Benutzer über die ZEDAT laufen muss.

Zusätzlich besteht die Hoffnung, dass es durch die Abgabe der Benutzerverwaltung an die ZEDAT in der Fachbereichs-IT mittelfristig zu einer Arbeitserleichterung kommt. Hierzu sind noch weitere Automatisierungsschritte notwendig.

Eine Aufschlüsselung nach Arbeitsgruppen wird nachgeliefert. (Stand: 20.01.2010)

Technische Antwort: Die Domain Controller der PHYSIK-Domäne laufen mit SAMBA auf Linux-Servern. Die Domäne kann damit nicht in eine Unterdomäne der FU-BERLIN Domäne umgewandelt werden. Neu angelegte Benutzer erhalten keine Accounts mehr in der PHYSIK-Domäne, da diese nicht an die Benutzerdaten in der ZEDAT herankommt. Derzeit gibt es 165 Rechner in der PHYSIK-Domäne (Stand: 20.01.2010).

Die WIN-Domäne ist eine Windows-basierte Domäne und könnte damit theoretisch eine Vertrauensstellung zun den Domain Controllern der ZEDAT aufbauen. Allerdings gibt es derzeit nur noch ca. 15 Rechner in der WIN-Domäne und die Domain Controller laufen auf veralteter Serverhardware, die möglichst bald ausser Betrieb genommen werden soll. Die WIN-Domäne spielt aufgrund der geringen Nutzerzahl nur eine untergeordnete Rolle.

Bezogen auf den SCCM und die zentrale Software-Verteilung beginnen die Probleme mit lokalen Administrator-Rechten in dem Augenblick, wo jemand auf seinem Rechner eine Software installiert, die auch über den SCCM angeboten wird. Dann nämlich ist die Statusinformation im SCCM nicht mehr korrekt und es kann nachfolgend zu Problemen bis hin zur Unbenutzbarkeit des Rechners kommen. Hier könnte der Benutzer einwenden, dass er mit diesem Risiko leben kann. Im Problemfall müsste sich der Benutzer, der lokale Administrator-Rechte innehat, selbst um die Reparatur kümmern, was in der Realität vermutlich nicht immer funktioniert.

Sofern eine Arbeitsgruppe einen Mitarbeiter benennt, der die Verantwortung für den ordnungsgemässen Betrieb entsprechend der IT-Sicherheitsrichtlinie übernimmt, ist gegen den Mischbetrieb von zentral verwalteten und selbstadministrierten Rechnern innerhalb einer Arbeitsgruppe nichts einzuwenden.

Als Beispiel kann die Installation von Mathematica dienen: derzeit kommt der Benutzer bei der IT-Abteilung vorbei um eine Installations-CD abzuholen, die er dann auf seinem Rechner als Administrator installiert. Mit dem SCCM kann er Mathematica als normaler Benutzer aus dem Menü Add or Remove Programs mit einem Klick installieren:

Die Installation kann vollautomatisch durchgeführt werden, was immer dann sinnvoll ist, wenn es keine Optionen bei der Installation auszuwählen gibt. Es kann aber auch der normale Installationsdialog mit allen Fragen eingeblendet werden. Dies ist z.B. bei Labview sinnvoll, da es hier eine Vielzahl von Paketen gibt, die sich jeder Benutzer individuell zusammenstellen kann.