Tags:
create new tag
, view all tags

AD-Gruppen für den ETH Print Service PIA

Zusammenfassung

Es wird vorgeschlagen und dazu konkrete Überlegungen dargelegt, wie man AD-Gruppen1 für die Zugangsberechtigungssteuerung für die Drucker- warteschlangen systematisch für die ETHZ anlegen kann. Grundlagen sind zwei Dinge: es soll ein Infrastruktur-Service sein und wir verfügen über ein gute gepflegtes Leitzahl-Gruppen-System, welches hierarchisch aufgebaut ist.

1 Ausgangspunkt

Wir haben für einen Infrastruktur-Service im Prinzip einen zweidimensionalen Raum, und zwar einmal die Gebäude und deren Belegung mit Einrichtungen der ETHZ. Das Beispiel hier soll das Hauptgebäude sein. Für alle Gebäude der ETHZ gibt es eine eindeutigen Bezeichnungscode. Im Beispiel ist das HG. In diesem Gebäude werden mehre Einrichtungen vertreten sein, beispielsweise das Departement für Mathematik, Teile der so genannten Zentralen Organe, aber auch Gruppen der ID (MMS als Abteilung). Die Belegung des Gebäudes wird ausserhalb der ID als Träger des Infrastruktur- Services Drucken (PIA) durch verschiedene Einrichtungen festgelegt werden, d.h. diese können sich ändern.

Ausserdem haben wir für alle Einrichtungen (Struktureinheiten) im AD Leitzahlgruppen, die die dort beschäftigten Mitarbeiter umfasst. Das ist die andere Dimension im Funktionsraum. Diese Leitzahlgruppen werden von der Personalabteilung auf Grundlage der Arbeitsverträge und der Verordnungen der Schulleitung (für die interne Struktur) gepflegt. Einstellungen oder Entlassungen werden so erfasst. Ähnliches gibt es für die Gruppen der Studenten und Hörer, hier pflegt das Rektorat die entsprechenden Gruppen. Diese Gruppen werden via NETHZ-Datenbank im AD aktualisiert und haben sich im Laufe der Zeit bewährt. Trotzdem wird es Ausnahmen geben.

IDEA! Anm. Swen Das Rektorat pflegt grundsätzlich keine Gruppen. Die Studenten schreiben sich für einen bestimmten Studiengang ein, die Gruppen werden in der nethz-Datenbank aufgrund dieser Einschreibungen automatisch generiert und aktualisiert. Dabei ist das aktuelle Semester wichtig, d.h. Frühlings- oder Herbstsemester eines jeweiligen Jahres. Nach dem 1. Februar werden alle Einschreibunge für das Frühlingssemester beachtet (2013S), nach dem 1. August gelten die Einschreibungen für das Herbstsemester (2013W).

Zusätzlich verwalten aber diese Mitarbeiter Ihre Geräte nicht selbst, für die Drucker- verwaltung stehen Ihnen Kollegen zur Seite, die jedem bekannt sind. Diese sollen hier der Kürze halber als ISGs bezeichnet werden (und umfassen die eigentlichen ISGs, die Gruppe ZO-Support und teilweise Mitarbeiter der Gruppe managed Services von ID SDL). Diese Mitarbeiter sollen also Verwaltungsrechte für die Druckerwarteschlangen bekommen, während die anderen nur Zugangsrechte haben.

2 Vorschlag

Die Top-Level-Gruppe heisse PIA-Service und enthält als einzige Personengruppe die Leitzahlgruppe der Arbeitsgruppe VPP. Diese Gruppe soll Administratoren-Rechte bekommen. Also gibt es dort die AD-Gruppe PIA-Admins mit dem einzigen Element, der Leitzahlgruppe von VPP.

Weitere Administratoren (mit anderen Rechten) tauchen erst weiter unten auf, bei den Gebäuden.

Nehmen wir an, wir haben im HG n Gruppierungen zu versorgen, so bilden wir die Gruppen PIA-HG-01, PIA-HG-02, etc. bis PIA-HG-n. Als Beispiel sollte 01 das D-Math bezeichnen, 02 die Zentralen Organe und 03 die ID MMS.

IDEA! Anm. Swen Gruppen mit Zählern halte ich grundsätzlich für eine schlechte Idee. Der Name einer Gruppe sollte so aussagekräftig wie nur möglich sein. Ausserdem ist es zwar okay, das Projekt «PIA» zu nennen, unter allen Umständen aber sollte die starke Marke «VPP» beibehalten werden! Meinetwegen kann man im Rahmen eines Rebranding einen besseren Namen suchen, aber PIA ist garantiert nicht besser, wir machen uns nur lächerlich damit.

Die AD-Gruppe PIA-HG-01 enthält dann als Personengruppen die Leitzahlgruppe von D-Math und als Admin-Gruppe (PIA-HG-01-Admin) die Leitzahlgruppe der ISD D-Math. PIA-HG-02 enthält als Leitzahlgruppe alle Zentralen Organe und als Admin-Gruppe die Leitzahlgruppe der ZO-Support-Gruppe der ID. Man sollte dabei nur in Ausnahmefällen weiter einschränken, weil doch häufig Arbeitsplätze temporär gewechselt werden.

Die Gebäude-Gruppen sollten alle auf der gleichen Hierarchie-Ebene liegen, sodass diese sukzessiv mit Verbreitung des Infrastruktur-Dienstes angelegt werden können.

IDEA! Anm. Swen Gruppen bilden in der Regeln eine bestimmte Berechtigung ab, die allen Gruppen-Mitgliedern vergeben wird. Die Administratoren z.B. des D-MATH können Gruppen in der Form MATH-Institut-Gruppe anlegen. Für Zugangsberechtigungen zu einem Drucker würde ich Gruppennamen wie MATH-VPP-HG_E_23.2 vorschlagen. Die Admins vom D-MATH generieren zunächst diese Gruppe, danach weist VPP diese Gruppe dem Drucker zu. Die D-MATH-Administratoren können selber festlegen, wer in dieser Gruppe ist (und damit Zugangsberechtigung hat). Dazu können Untergruppen (beispielsweise Leitzahl-Gruppen) und Einzelpersonen hinzugefügt werden.

3 Sonderfälle

3.1 Drucker, der zwischen zwei Arbeitsgruppen geteilt wird

Soll tatsächlich ein Drucker zwischen zwei Arbeitsgruppen ausschliesslich benutzt werden, so bildet man eine zusätzliche Gebäudegruppe und ordnet dieser nur die beiden Leitzahlgruppen der zwei Arbeitsgruppen als Mitglieder zu, zuzüglich als Administrator-Gruppen-Element noch die ISG-Leitzahlgruppe. Wenn sehr viel Aus- nahmen nötig sind, kann es recht viele solcher Gruppen geben. Man sollte nicht versuchen, atomare Aufteilungen bei den Zugangsrechten anzustreben.

IDEA! Anm. Swen Die Administratoren vom D-MATH können problemlos Leitzahlgruppen «fremder» Arbeitsgruppen zur Gruppe MATH-VPP-HG_E_23.2 hinzufügen. Wichtig ist, dass derzeit nur jeweils eine Admingruppe für die Gruppenadministration (d.h. Zugangsberechtigung zu einem Drucker) verantwortlich sein kann.

3.2 Gäste

Das Gäste-Druckjobs abgerechnet werden sollen, ist klar und zwar beim Gastgeber. Wie aber die Gäste-Namen in die AD-Gruppen kommen, muss noch abgeklärt werden.

IDEA! Anm. Swen Es gibt mehrere Möglichkeiten:

  1. Die Administratoren erstellen einen regulären nethz-Gast und weisen ihm einen Mailbox-Service zu. Hinterher wird dieser User noch zu der Gruppe MATH-VPP-HG_E_23.2 manuell hinzugefügt (eignet sich für Langzeit-Gäste)
  2. für «Tagesgäste» können die Administratoren einen unpersönlichen Gastaccount erstellen (einen User unter einem technischen Gast), welcher ebenfalls einen AD-Account hat und zur Gruppe MATH-VPP-HG_E_23.2 hinzugefügt wird. Um zu drucken benutzen die Gäste dieses Gastkonto. Das Passwort dieses Gastkontos sollte regelmässig geändert werden.

3.3 Studenten und Hörer

Da für Studenten z.Z. spezielle Drucker mit einer Release-Auslösung für den Druckjob angewendet wird und es auch so bleiben sollte, braucht die Zugangssteuerung nur für die summarische AD-Gruppe Studenten (und Hörer) benutzt zu werden. Der Rest (Seitenzahlabrechnung und Sperren, wenn das Limit erreicht ist) sollte über eine entsprechende Buchhaltungs-Software erfolgen.

3.4 Pull-Printng

Diese Geräte sollten generell für alle Mitarbeiter und/oder für alle Mitarbeiter und alle Studenten freigegeben werden.

4 Grundlegende Arbeiten

Die VPP-Gruppe muss diese Gruppen erstellen können und bei der ersten Installation in einem Gebäude einrichten. Je nach Lösung, wie mit den Gästen verfahren wird, müssen die ISGs keine Gruppen erstellen oder eben doch. Die eigentlichen Drucker- Administrations-Rechte werden für die ISG-Gruppen jedoch separat verwaltet. Die restlichen Leitzahlgruppen (der Mitarbeiter) spielen keine Rolle, weil mit ihnen nur geregelt ist, zu welchen Warteschlangen die Personen Jobs schicken dürfen.

IDEA! Anm. Swen Nein, die verantwortliche Admingruppe (in unserem Beispiel die Admingruppe D-MATH) erstellt schon vorher diese Gruppe (sonst muss ich der VPP-Gruppe Root-Rechte erteilen). Dabei reicht auch schon eine leere Gruppe, welche erst hinterher gefüllt wird. Nicht, dass es technisch unmöglich wäre, dass VPP zuerst die Gruppe erstellt und diese danach der Admingruppe D-MATH überträgt, aber zur Zeit funktioniert das nethz Gruppen-Tool halt eben anders.

-- DieterHennig - 2013-09-18

Topic revision: r2 - 2013-09-18 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback