Richtlinien für Active Directory (FAUAD), Windows Server, Windows Client, etc.
Laufwerksbuchstaben
Vom RRZE sind folgende Laufwerksbuchstaben UNI-weit reserviert:
- U: FAUPORT Parkplätze
- V: reserviert (noch nicht belegt)
- W: Home-Laufwerk des User (wird über User-Profil gesetzt)
Laufwerksbuchstaben können prinzipiell per Gruppenrichtlinie überschrieben werden. Da Seiteneffekte nicht auszuschließen sind, wird dies vom RRZE nicht empfohlen. Dieses Vorgehen ist vom RRZE nicht supported.
Rechner in der FAUAD
Rechner, die in die FAUAD aufgenommen werden, müssen im DNS mit dem Rechnernamen registriert sein.
Die Registrierung beantragen Sie über dns@fau.de.
Rechner ohne DNS-Registrierung werden in der FAUAD gesperrt.
Zulässigen Zeichen für den Rechnernamen: Buchstaben (a-z,A-Z), Zahlen (0-9) und der Bindestrich (-). Alle anderen Zeichen sind nicht erlaubt. Der Rechnername darf nicht nur aus Zahlen bestehen und muss mit einem Buchstaben beginnen. Maximale Zeichenlänge: 15 Zeichen.
Aus Sicherheitsgründen sollte der Rechner in einem privaten Netz betrieben werden.
Es wird empfohlen alle Rechner auch im DHCP registrieren zu lassen damit Netzwerkänderungen durch Updates bzw. Upgrades automatisch korrigiert werden. So setzen Windows 10 Upgrades die Netzwerkeinstellung auf Default zurück, d.h. auf DHCP.
Für WinSV (Windows-Softwareverteilung) verwaltete Rechner ist DHCP vorgeschrieben.
Die Registrierung beantragen Sie über dhcp@fau.de
Eine Umbenennung der Rechner in der FAUAD wird nicht empfohlen. Sollte ein Rechner umbenannt werden, so muss zwingend der DNS- und DHCP-Eintrag angepasst werden. Dieses Vorgehen ist vom RRZE nicht supported.
Empfehlung Rechnernamen: <Präfix>-<Text>
<Text>: frei wählbarer Text unter Berücksichtigung der zulässigen Zeichen für Rechnernamen.
Empfehlung für <Text>: Keine veränderlichen Daten, wie z.B. IP- und Mac-Adresse, Personen, Ort, Personenkennung, etc. im Rechnernamen verwenden. Diese Informationen sind besser im Kommentarfeld aufgehoben.
Benutzer in der FAUAD
Die Anlage von Benutzern in der FAUAD ist verboten.
Alle Benutzer in der FAUAD werden ausschließlich durch IdM provisioniert.
Home-Laufwerke und Folder Redirection
Das RRZE stellt zentrale Home-Laufwerke auf RRZE-Servern zur Verfügung. Diese werden vom RRZE betreut und durch GPOs konfiguriert. Diese GPOs dürfen nicht kopiert und an eigene Bedürfnisse angepasst werden.
FAUAD RRZE-NetAPP FolderRedirektion Move (U), STUD FR Student ERL (U) und COURSE FR NBG (U) sind beispielsweise solcher GPOs.
Für die Deaktivierung der Folder Redirection ist ausschließlich die dazu vorgesehene Funktion zu nutzen. Siehe Anleitungen Folder Redirection.
Sicherheit
Für Rechner die in die FAUAD aufgenommen werden, ist ein Virenscanner Vorschrift. Aktuell soll der Windows eigene Virenscanner Defender verwendet werden.
Betriebssysteme und Software mit eingestellten Herstellersupport
Betriebssysteme und Software, bei denen der Herstellersupport eingestellt wurde, erhalten auch bei kritischen Sicherheitslücken keine Aktualisierungen, um diese Lücken zu schließen! Beispiele hierfür sind Windows XP, Windows Vista, Windows Server 2003, Ubuntu 10.04, SLES 9 und Microsoft Office 2003.
Informationen über den aktuellen Stand des Herstellersupports:
Microsoft: Microsoft Lifecycle-Richtlinie bzw. Lebenszyklus für Produkt suchen
Ubuntu: Ubuntu release end of life
SUSE: Product Support Lifecycle
Der sichere Betrieb eines solchen Systems kann nicht mehr gewährleistet werden und stellt ein großes Sicherheitsrisiko für die gesamte IT-Infrastruktur der FAU dar.
Für Folgekosten, verursacht durch den Betrieb veralteter Systeme, die besonders anfällig für Viren, Trojaner und Hackerangriffe sind, die wiederum auch andere Systeme angreifen können, haftet alleine der Betreiber des Systems.
Das RRZE behält sich vor, Systeme mit unsicheren Betriebssystemen (auch Systeme, bei denen keine aktuellen Sicherheitsupdates eingespielt werden) aus Sicherheitsgründen vom Netz zu trennen.
Eine Umstellung auf eine aktuelle Betriebssystem-Versionen kann in der Regel ohne zusätzliche Lizenzkosten für das Betriebssystem erfolgen, da dies durch Rahmenverträge mit den Herstellern geregelt ist. Genaue Informationen erhalten Sie von der RRZE-Softwareabteilung (software@fau.de)
Sollte ein Betrieb derartiger Alt-Systeme am Datennetz der FAU aus technischen Gründen unvermeidbar sein (z.B. bei der Arbeit mit vernetzten Labor- oder Messsystemen), so muss für diese Systeme netzseitig ein individuelles Sicherheitskonzept erarbeitet werden.
Hierzu ist eine Anfrage an die Gruppe Netzinfrastruktur und -dienste der Abteilung Kommunikationssysteme des RRZE (noc@fau.de) notwendig.
Der Betrieb von Rechnern mit Betriebssysteme und Software mit eingestellten Herstellersupport ist aus Sicherheitsgründen in Aktive Directorys der FAU nicht erlaubt. Rechner bei denen kein individuelles Sicherheitskonzept vorliegt werden aus den Aktive Directorys der FAU gelöscht.
Betrieb von Windows-7-Rechnern in universitären Netzen ab dem 15.1.2020
Richtlinien des FAU-Datennetzes
Die Richtlinien für die Nutzung des FAU-Datennetzes erläutern die Spielregeln für die Nutzung des Kommunikationsnetzes der FAU und legen Verantwortlichkeiten dar.
Informationssicherheitsmanagement an der FAU
weitergehende Informationen Informationssicherheitsmanagement an der FAU
Richtlinien und Dienstvereinbarungen zur Nutzung der Informationstechnik (IT)
weitergehende Informationen Richtlinien und Dienstvereinbarungen zur Nutzung der Informationstechnik (IT)
Sehr geehrte Administratoren,
im Rahmen Ihrer Vereidigung wurden Sie über Ihre Dienstpflichten unterrichtet und haben sich zu deren Beachtung verpflichtet. Der folgende Text dient zur Verdeutlichung dieser Dienstpflichten im Kontext Ihrer Tätigkeit als Administrator.
Sie verpflichten sich zur strikten Wahrung der Vertraulichkeit und Gewährleistung der Integrität der Daten auf den Zielsystemen sowie der Einhaltung des Datenschutzes und der einschlägigen Gesetze (Fernmeldegesetz, Teledienstegesetz, Datenschutzgesetz etc.), da durch die erweiterten Rechte auf den Zielsystemen auch der Zugriff auf Daten anderer Benutzer mit Zugang zu diesem System möglich ist.
Personenbezogene Daten im Sinne der geltenden Datenschutzgesetze dürfen nicht ohne Sondergenehmigung seitens des RRZE und des Datenschutzbeauftragten der FAU verarbeitet werden!
Bitte informieren Sie sich zusätzlich über Ihre Pflichten bezüglich Datenschutz unter: https://www.fau.de/fau/leitung-und-gremien/gremien-und-beauftragte/beauftragte/datenschutzbeauftragter/ oder lassen Sie sich vom Datenschutzbeauftragten der FAU beraten.
Ihnen ist bekannt, dass Sie sich durch eine missbräuchliche Nutzung der Informationsverarbeitungssysteme strafbar machen und dass beim Vorliegen eines Missbrauchs von allen Rechtsmitteln (arbeits-, straf- und zivilrechtlich) Gebrauch gemacht wird. Des Weiteren bemüht sich der Antragsteller, den Zugang und die damit verbundenen Dienste unter Berücksichtigung aller Sicherheitsaspekte zu nutzen.
Das RRZE weist Sie darauf hin, dass für jegliche Art der Nutzung die „Benutzungsrichtlinien für Informationsverarbeitungssysteme der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU)“ gelten, die Sie bereits rechtsgültig akzeptiert haben:
https://www.intern.fau.de/informationstechnik-it/it-richtlinien/it-richtlinie/
https://www.rrze.fau.de/infocenter/rahmenbedingungen/richtlinien/fauad-vorgaben-und-richtlinien/
Administratoren des RRZE können nach schriftlicher Einverständniserklärung, nach Auftrag des Kunden oder im Notfall Zugriff auf alle Daten des Zielsystems nehmen. Administratoren im Sinne dieser Vereinbarung sind Beschäftigte des RRZE, zu deren Aufgaben die Installation und Wartung der dienstlichen IT-Systeme der Universität gehört. Diese Administratoren werden unter dem Begriff „Enterprise-Admins“ geführt. Die Enterprise-Admins unterliegen den hier erläuterten Pflichten und haben sich verpflichtet diese einzuhalten.
Das Administratorkonto ist personenbezogen und nicht übertragbar. Die Weitergabe des Passwortes ist untersagt.
Verstöße gegen eine der hier erläuterten Pflichten führen zum Entzug des Administratorkontos.
Das Öffnen von Dokumenten aller Art, die nicht Ihnen gehören, ist untersagt bzw. nur dann zulässig, wenn die schriftliche Zustimmung des Eigentümers vorliegt.
Die erweiterten Rechte des Administratorkontos dürfen nicht dazu benutzt werden, sich Zugriffsrechte auf andere Systeme und Bereiche zu verschaffen, als auf diejenigen, die Ihnen zugewiesen sind.
Die Umgehung oder Abschaltung sicherheitsrelevanter Dienste (z.B. Firewall, Virenscanner, Malware- Scanner) ist nicht gestattet.
Die Löschung von Systemprotokollen oder die Änderung der Systemprotokollierung ist nicht gestattet.
Administratorkonten beinhalten besondere Rechte auf den Zielsystemen. Bei nicht sachgerechter Nutzung dieser Rechte kann sehr großer Schaden an den Zielsystemen entstehen. Sie verpflichten sich, Ihr Administratorkonto mit der gebotenen Sorgfalt zu nutzen.
Als Administrator besitzen Sie die Berechtigung Programme auf Servern und Clients zu installieren. Sie sind persönlich verantwortlich, dass nur rechtmäßig lizensierte Software installiert wird. Siehe hierzu https://www.rrze.fau.de/hard-software/software/
Im Zweifelsfall fragen Sie vor (!) der Installation bei rrze-software@fau.de nach.
Sie sind verpflichtet, den Anweisungen des RRZE, insbesondere der Enterprise-Admins, Folge zu leisten.
Der Einrichtungsleiter Ihrer Organisationseinheit sowie der Gesamtpersonalrat werden über die Genehmigung der Administratorkennung als auch über künftige Statusänderungen in Kenntnis gesetzt.
Ich habe die vorstehenden Regelungen zur Kenntnis genommen und verpflichte mich zu deren Beachtung/Einhaltung
Hinweis: Wird die 2FA in IdM oder im Zielsystem deaktiviert laufen Sonderkennungen automatisch aus und können nicht mehr genutzt werden.
Stand: 03.05.2021
Vorbemerkung
Das zuständige IT-Betreuungszentrum (IZ) bietet den Nutzern neben der vollständigen Betreuung auch die Möglichkeit zur Eigen-Administration (EA) von (mobilen) Windows-Geräten.
Voraussetzung für das Einrichten entsprechender technischer Berechtigungen ist das Einverständnis der Leitung der anfragenden FAU-Einrichtung (LEIT) und die Einhaltung unten genannter Pflichten durch den Eigen-Administrator (EA) durch Unterzeichnung des nachfolgenden Service Level Agreements (SLA).
Allgemeine Bestimmungen und Voraussetzungen
Das SLA wird bis zum Ende der Nutzungsdauer des u. g. Gerätes zwischen dem IZ und dem u. g. EA vereinbart. Das SLA ist für das konkrete Gerät gültig. Es wird nicht automatisch auf weitere Geräte übertragen, sondern muss bei einem Gerätewechsel gesondert beantragt werden.
Das SLA gilt bis zum Widerspruch einer der beteiligten Parteien oder der Leitung der FAU-Einrichtung und kann jederzeit einseitig beendet werden.
Rechte, Leistungen und Pflichten des IZ
Die Erstinstallationen des Geräts wird vom IZ durchgeführt.
Das IZ richtet dem EA einen lokalen Administrator-Account in Form einer MU-Kennung ein. Für die Einrichtung der Kennung ist ein zusätzliches Formular notwendig.
Durch die Einbindung in das FAU Active Directory (FAUAD) und in weitere Dienste (insbesondere in die Softwareverteilung SCCM) wird gewährleistet, dass die vom IZ bei der Erstinstallation installierte Software stets automatisch aktuell gehalten wird.
Das IZ steht dem EA für Beratungen zu den Öffnungszeiten zur Verfügung.
Rechte und Pflichten des EA
Der EA erhält in Form der MU-Kennung eine personen- und gerätegebundene Kennung mit der er das hinterlegte Gerät selbst administrieren kann. Diese Kennung kann auch im normalen Betrieb dauerhaft vom EA an diesem Gerät genutzt werden, solange das SLA gültig ist.
Der EA ist für seinen Rechner selbst verantwortlich. Für Probleme die aus von ihm installierter Software resultieren trägt der EA die Verantwortung. Die grundsätzliche Verantwortung des Einrichtungsleiters gemäß §5 Abs (1) der ITR der FAU wird dadurch nicht beeinträchtigt.
Eine Fehlerbehebung durch das IZ umfasst ausschließlich eine Zurücksetzung des Gerätes auf den Zustand der Erstinstallation. Sollte das IZ innerhalb kurzer Zeit mehrmals das Gerät zurücksetzen müssen, kann das SLA fristlos durch das IZ gekündigt werden.
Lokal gespeicherte Daten werden nicht durch das IZ gesichert und können daher durch das IZ auch nicht wiederhergestellt werden.
Software, die vom IZ im Rahmen der Grundinstallation auf dem PC installiert wurde, darf vom EA nicht verändert, deaktiviert oder deinstalliert werden. Ebenso darf der EA keine lokale Parallelinstallation der gleichen Software vornehmen, da dies zu technischen Problemen führen wird.
Die MU-Kennung darf nicht an Dritte weitergegeben werden.
Der EA darf keine lokalen Kennungen anlegen.
Die Benutzungsrichtlinien für Informationsverarbeitungssysteme der Universität Erlangen-Nürnberg sind zu beachten. Insbesondere darf der EA nicht den Virenscanner oder die lokale Firewall deaktivieren.
Bei Nichteinhaltung der o. g. Bestimmungen und Voraussetzungen behält sich das IZ vor, das SLA mit sofortiger Wirkung einseitig zu kündigen.
Hinweis: Wird die 2FA in IdM oder im Zielsystem deaktiviert laufen Sonderkennungen automatisch aus und können nicht mehr genutzt werden.
Stand: 23.07.2019