Universitätsrechenzentrum
W10SELFADM

W10SELFADM - ADMIN-Dienst für PCs mit Windows 10 und lokalen Admin-Rechten

W10SELFADM ist ein Dienst mit geteilter administrativer Verantwortung für Arbeitsplatz-PCs unter Windows 10. Der Schwerpunkt liegt auf der vor Ort vom Selfadmin wahrzunehmenden Verantwortung, da nur spezielle Komponenten vom URZ installiert, gewartet und verantwortet werden.

Das URZ als Auftragnehmer ist zuständig für die Basis-PC-Installation sowie die Wartung von in diesem Kontext installierten Komponenten.

Ein oder mehrere als Selfadmin bezeichnete Personen erhalten administrative Rechte und übernehmen damit neben der Betriebsverantwortung auch die administrative Verantwortung für diesen PC. Dies beinhaltet die Einhaltung der Lizenzbedingungen für die eingesetzte Software einschließlich Betriebssystem.

Als Betriebssystem kommt derzeit für Neuinstallationen Windows 10 Enterprise LTSC 2019 (64bit) zum Einsatz (künftige Änderungen vorbehalten).

Auf Bestandssystemen ist Windows 10 Enterprise 2016 LTSB (64bit) installiert.

Service Level Agreement (SLA) für den Dienst W10SELFADM

(Stand: Mai 2023)

Das SLA regelt Umfang und Bedingungen für den Dienst W10SELFADM zwischen dem URZ als Auftragnehmer und dem Kunden (als Auftraggeber bzw. Selfadmin). Das Rahmen-SLA für ADMIN-Dienste ist Bestandteil dieser Vereinbarung.

Diese Vereinbarung ist PC- und personenbezogen.

  1. Leistungsumfang
  2. Leistungsparameter
  3. Aufstellungsort
  4. Nutzungs-, Betriebs- und Wartungszeiten
  5. Rechte und Pflichten des Selfadmin
  6. Administrative Rechte
  7. W10SELFDADM-Auftrag
  8. Beendigung des Adminauftrages

Leistungsumfang

Der Auftragnehmer ist zuständig für
  • Installation des Betriebssystems Windows 10
  • Campusnetz- und Active-Directory-Dienste-Integration
  • Erstkonfiguration eines sicheren Betriebs (Windows Update, Firewall, Antivirensoftware Sophos)
  • Erstkonfiguration von ausgewählten grundlegenden Datenschutzeinstellungen
  • Installation und Wartung dieser Komponenten:
    KategorieProdukte
    BüroLibreOffice, PDF24 Creator, Planner GanttProject
    Grafik und MultimediaGIMP, Inkscape, IrfanView, Scribus, VLC Media Player
    InternetFirefox, Chrome, Thunderbird, Instant Messaging (Element)
    JavaJava (JRE und JDK)
    Werkzeuge7-Zip, Adobe Reader, CDBurnerXP, Cygwin, FreeCommander, Ghostscript, GVim, KeePassX, PaperCut Client, PuTTY, Sophos, WinSCP
    -Kerberos und OpenAFS, Monitoring- und Managementsoftware des URZ

Darüber hinaus werden einige "MS Office 2013 LTSC 2021 Professional Plus"-Produkte vorinstalliert zur Verfügung gestellt (Aktualisierung über Windows Update). Dem Auttraggeber steht es in eigener Verantwortung frei, die "MS Office 2013 LTSC 2021 Professional Plus"-Produkte zu deinstallieren oder auszutauschen.

Eine Unterstützung bei Fehlerbehebung bzw. Ursachensuche für Fehlfunktionen wird gegeben, soweit aufwandsmäßig vertretbar und nicht durch lokal veranlasste Änderungen hervorgerufen.

Leistungsparameter

  • Die Benutzung des W10SELFADM-PCs erfolgt mittels TUC\Nutzerkennzeichen.
  • Nutzerspezifische Daten stehen im Windows-Homeverzeichnis (Laufwerk P:).
  • Zugriff auf zentral bereitgestellte Ressourcen über das installierte OpenAFS, u. a.
    • AFS-Homeverzeichnis (Laufwerk H:)
    • AFS-Filesystemhierarchie (Projektverzeichnisse, ...) (Laufwerk U: und S:)
  • System- und Netzwerksicherheit
    • Sicherheitsupdates werden automatisch integriert
    • Secure Shell (PuTTY)
  • Konfiguration der Systemkomponenten, u. a.
    • Netzintegration
    • Zeitsynchronisation
    • Computerkonfiguration
    • Benutzungskonfiguration
    • Windows-Homeverzeichnis mit Nutzerumgebung (Profil)

Aufstellungsort

Aufstellungsort ist der mit dem Auftrag angegebene Raum, der über die Datendose festgelegt ist. Veränderungen des Aufstellungsortes müssen mit dem Auftragnehmer abgestimmt werden.

Nutzungs-, Betriebs- und Wartungszeiten

Grundsätzlich können die Rechner täglich in der Zeit von 0-24 Uhr genutzt werden. Voraussetzung für einen ordnungsgemäßen Betrieb des W10SELFADM-PC ist ein permanenter Netzanschluss sowie dessen Betrieb mit dem vom Auftragnehmer installierten Betriebsystem.

Im Rahmen der Systemwartung (Aktualisierung, Korrektur, etc.) wird die Konsistenz von System und Software überprüft und gegebenenfalls wiederhergestellt bzw. aktualisiert.

Wartungsmechanismen werden mit dem Booten von Windows 10 sowie zu definierten Zeiten aktiviert, der komplette Wartungszyklus standardmäßig nachts. Um den jeweiligen zeitlichen Wartungsaufwand zu minimieren und außerdem die Installation aktuell zu halten, muss eine Aktualisierung mindestens einmal je Woche ermöglicht werden (der Rechner muss dazu nachts eingeschaltet sein).

Das jeweils vom System geforderte Rebooten eines PCs im Zusammenhang mit der Behebung von Sicherheitslücken ist möglichst zeitnah zu gewährleisten.

Ist die Systemwartung über einen längeren Zeitraum (mehr als 4-6 Wochen) nicht möglich, kann aus Sicherheitsgründen der W10SELFADM-Dienst durch den Auftragnehmer gekündigt werden.

Die Wiederherstellung einer Installation wird vom Selfadmin realisiert, gegebenenfalls mit dem Auftragnehmer abgesprochen.

Rechte und Pflichten des Selfadmin

Ein Selfadmin muss ausreichende Kenntnisse über die Administration von Windows 10 und die W10SELFADM-Technologie besitzen.

Die Aufgaben eines Selfadmin sind:
  • Installation jeglicher benötigter Software, außer der vom URZ installierten Software
    (Zielverzeichnisse C:\Program Files und C:\Program Files (x86))
  • Installation von Druckern
  • vollständige Integration von Hardware / Geräten (Treiber & Software)
  • Beheben von Fehlersituationen
  • Wiederherstellung der Basis-PC-Installation sowie selbst vorgenommener Modifikationen

Administrative Rechte

  • Das Nutzerkennzeichen des Selfadmins ist Mitglied in der lokalen Gruppe Administratoren.
  • Werden von Windows administrative Rechte angefordert, kann der Selfadmin dies genehmigen oder ablehnen.
  • Administrative Rechte dürfen ausschließlich für administrative Tätigkeiten verwendet werden.
  • Es dürfen keine lokalen Accounts eingerichtet werden.
  • Die administrativen Rechte dürfen nicht weitergegeben werden.
  • Die Weitergabe der Selfadmin-Funktion oder das Hinzufügen eines weiteren Selfadmins ist möglich und erfolgt über das IdM-Portal ("Admindienst").

W10SELFDADM-Auftrag

Bitte wählen Sie bei der Beschaffung von PC-Hardware einen "URZ-administrierter PC" inklusive der Option "Lizenz Qualifizierende Basislizenz für MS Landesvertrag" aus. Ein W10SELFADM-Auftrag kann auch nachträglich innerhalb von 12 Monaten (bezogen auf den Liefertermin) beauftragt werden. Bitte wenden Sie sich dazu unter Angabe der Beschaffungsdaten (Identnummer) an .

Als Auftraggeber sind Sie gleichzeitig auch der verantwortliche Ansprechpartner, über den die evtl. notwendige Kommunikation während der Nutzung des Dienstes erfolgt. Diese Verantwortung kann an eine andere Person (über das Auftragsformular bzw. IdM-Portal) übertragen werden.

Die administrativen Berechtigungen im WebDNS-Portal gehen für die Systeme im Administrationsdienst an das URZ über.

Bei Fragen, Problemen etc. verwenden Sie bitte das bei Auftragserteilung erzeugte Auftrags-Ticket, dessen Adresse nach Auftragserteilung per E-Mail mitgeteilt wurde.

Beendigung eines Adminauftrages

Die Beendigung eines Adminauftrages durch den Auftraggeber muss mit dem Auftragnehmer vor Außerbetriebnahme des Systems abgestimmt werden.
Dabei wird ein Termin vereinbart, zu welchem die Festplatte mit der Systeminstallation gelöscht wird. Diese Maßnahme ist zwingend erforderlich um ggf. noch vorhandene Nutzerdaten sowie Konfigurationen und Managementsoftware zu löschen.

Verwenden Sie zum Beenden eines Adminauftrages die Option Löschen im IdM-Portal → Admindienst. Ein Bearbeiter wird mit Ihnen das weitere Vorgehen abstimmen.