ich würde mir gerne mehr von meinen Schüler-Admins helfen lassen.
Gibt es eine Möglichkeit, einen Account anzulegen, der erweiterte Rechte hat?
Konkret sollen die Schüler-Admins Rechner (im Idealfall via lmn-gui->DHCP) aufnehmen und bespielen können.
Das kann im Normalfall nur global-admin oder ander „Schuladministratoren“ - richtig?
Oder geht das nur über den Weg am Rechner - also dort alles von Hand einpflegen und das linbo-Passwort manuell setzen und den Schülern mitteilen?
der Grund warum niemand auf deine Anfrage reagiert ist wohl, weil niemand das so macht.
Keine vorgefertigte Rolle in der lmn sieht das vor, dass es einen „Teiladmin“ gibt.
Es gibt den global-admin, der in allen Schulen alles darf und des gibt Schuladmins, die in ihren Unterbereichen (Schulen) alles dürfen.
Beides ist nichts für Schüler*innen.
Du müsstest ja sehr genau sagen, was der darf und was nicht: also müßtest du seine Rechte im AD selbst designen.
Die Wahrscheinlichkeit, dass da was schief geht, oder du zuviel erlaubst ist relativ groß: ich empfehle: Finger weg.
Du musst die Situation ja von beiden Seiten her denken, nicht nur von „kann er alles was er soll“ sondern auch vom „darf er zuviel“.
Wenn der dann mal schlechte Laune bekommt und anfängt Lehrerpasswörter zu ändern, oder er installiert ins nächste Image einen keylogger …
Du hast Verantwortung für die Daten von sehr vielen Menschen: du mußt da sehr vorsichtig sein.
Red doch mal mit dem Datenschutzbeauftragten darüber …
Generell gibt das Backend das schon her. Allerdings ist das nicht sonderlich sauber ausgearbeitet. Die WEBUI Rechte können in LDAP granular den Nutzern zugeordnet werden.
Darüber hinaus, brauchen diese aber auch zum Teil Zugriffe auf Systemdateien (zB. /etc/linuxmuster/devices.csv)
Technisch könnte man sowas schon irgendwie zusammenbasteln, ist aber halt gefrickelt und könnte ungünstige Nebeneffekte nach sich ziehen.
Das Aufnehmen der Rechner aus Linbo heraus ist dabei weniger bedenklich. Der Import muss schlussendlich aber dennoch einmal abgeschickt werden. Eventuell ist es auch gar nicht blöd da nochmal vorher drauf zu schauen >:D
Es ging ja genau wegen der Verantwortlichkeiten um einen eingeschränkten Admin. Konkret hätte dieser nur Geräte in die devices.csv aufnehmen können sollen und nichts anderes.
