Vorbereitung des lokalen AD für den CCCS

Vorarlberger Standardschulinstallation
Verfasser: Kuno Sandholzer

1 Worum geht's?

Im Rahmen der technischen Umsetzung des Kinderschutzes bei den digitalen Endgeräten der Geräteinitiative des Bundesministeriums wurde eine technische Erleichterung angestrebt.

Dazu wurde eine automatisierte Verteilung und Verwaltung der MDM-Richtlinien über den CCCS eingerichtet.

Die Eltern haben in weiterer Folge die Möglichkeit über das Bildungsportal bestimmte Einschränkungen freischalten zu lassen. Damit dieser Automatismus funktioniert, müssen die Benutzerkonten im Azure Active Directory (bzw. bei synchronisierten Usern im lokalen Active Directory) eindeutig zuordenbar sein.

Diese Zuordnung erfolgt über das Kennzeichen bPK-BF, welches in das Feld "Position" im Active Directory eingetragen werden muss. Die händische Zuordnung dieser Kennung ist bei größeren Schulen etwas mühsam. Das hier dokumentierte Programm PrepareADUsers soll diesen Vorgang erleichtern. Es trägt das Kennzeichen ins Active Directory ein, wodurch die Zuordung im Azure Active Directory nach der nächsten Synchronisierung erfolgen kann.

2 Wie erhalte ich das Programm?

Das Programm steht im Downloadbereich des VOBS zur Verfügung:

https://download.vobs.at/wp-content/uploads/RBService/PrepareADUsers/PrepareADUsers-0.8.0.msi

Sollte eine neuere Version des Programms zur Verfügung stehen, so weist das Programm unmittelbar nach dem Start darauf hin und bietet ein Update an. Die Durchführung des Updates wird dringend empfohlen.

3 Verwendung des Programms

Vor dem Start des Programms sollte die aktuelle Schülerliste als CSV entsprechend der Anleitung

https://bildungsministerium.atlassian.net/wiki/external/MTA3MzE2MWM4ODdlNGNlYmJlYmU3MDlkMGExZmI4ZTA

heruntergeladen werden.

Stand 23. März 2026:
Anders als im oben verlinkten Dokument beschrieben, steht die bPK-BF in der Liste aller Schüler:innen noch nicht zur Verfügung! Die Liste mit BPKBF ist allerdings verfügbar, wenn die Benutzerliste von ID Push verwendet wird. ID Push wiederum ist im Bildungsportal nur dann sichtbar, wenn man die delegierte Aufgabe "Systemadministrator" erhalten hat.
In dieser Liste wiederum sind auch Lehrer:innen und Direktor:in enthalten, die im AD nicht zwingend mit der bPK-BF markiert werden müssen.

Das Programm sollte nach dem Download auf dem Domaincontroller (Vorarlberger Standardinstallation: DCSchule) installiert werden. Nach der Installation erscheint ein Alias des Programms auf dem Desktop:

Ein Doppelklick startet das Programm:

Im Auswahlfeld "Start-OU" werden alle im lokalen Active Directory gefundenen OUs angeführt. Hier wird angegeben, welche OU (inklusive der untergeordneten OUs) verwendet werden soll, um nach passenden Einträgen im Active Directory zu suchen. Es ist zu empfehlen, hier die niedrigstmögliche OU anzugeben, um alle Schüler:innenkonten zu erreichen, aber keine unnötigen Konten einzuschließen.

3.1 Benutzer importieren und automatisch zuordnen

Mit der Schaltfläche "Usernamen (CSV) importieren" wird die vom Bildungsportal heruntergeladene Datei ausgewählt. Diese sollte dazu natürlich vorab auf den Domaincontroller kopiert worden sein:

Umgehend nach dem Import gleicht das Programm die Namen aus der CSV-Datei mit den Namen im Active Directory ab. Dazu werden die Vornamen und die Nachnamen verglichen.

grüne Zeile: Vorname und Nachname stimmen genau überein
gelbe Zeile: Vorname und Nachname stimmen großteils überein, das Programm vermutet eine Übereinstimmung. Gelbe Zeilen sollten jedenfalls nochmal kontrolliert werden
weiße Zeile: zu einem Namen in der CSV-Datei wurde keine passende Übereinstimmung im Active Directory gefunden. Diese Konten müssen manuell zugeordnet werden. In diesem Beispiel sind davon drei Schüler:innen betroffen.

Benutzer, die in der CSV-Datei enthalten sind und im AD bereits einen Eintrag im Feld "Position" haben, werden in der Liste nicht mehr angeführt.

3.2 Benutzer manuell zuordnen

Bei allen Zeilen kann durch einen Doppelklick die Zuordnung geändert werden. Bei weiß markierten Zeilen ist diese manuelle Zuordnung notwendig:

Über die Eingabezeile können die angezeigten Suchtreffer eingegrenzt werden. Es werden ausschließlich noch nicht zugeordnete Benutzerkonten innerhalb oder unterhalb der angegebenen OU angezeigt.

Mittels der Schaltfläche "Übernehmen" werden die Daten zugeordnet. Die Zeile wird nach der manuellen Zuordnung grün hinterlegt, die Anzahl der nicht zugeordneten Datensätze wird aktualisiert.

3.3 Zuordnung löschen

Ist eine Zuordnung nicht korrekt, so kann sie ausgewählt und mit der Schaltfläche "Zuordnung löschen" entfernt werden. Danach ist eine manuelle Zuordnung notwendig.

3.4 Daten an AD übertragen

Sind alle Zuordnungen erledigt, so können die Daten an das Active Directory mit der Schaltfläche "Daten an AD übertragen" übertragen werden. Dabei wird die bPK-BF in das Feld "Position" geschrieben und in weiterer Folge in das Azure Active Directory synchronisiert.

Vorher:

Nachher:

4 Bugreports

Da der Autor des Programms nur Zugriff auf die Daten einer Schule hatte, waren die Testmöglichkeiten eingeschränkt. Das ist auch der Grund für die noch niedrige Versionsnummer.

Es ist sehr ratsam, bei einer virtuellen Maschine vor der Ausführung des Programms ein Backup des Domaincontrollers durchzuführen und bei einer virtualisierten Umgebung eventuell einen Snapshot davor zu erstellen.

Grundsätzlich ändert das Programm nichts am Active Directory, bevor nicht bewusst die Schaltfläche "Daten an AD übertragen" betätigt wird.

Das Programm bietet noch viel Spielraum für Verbesserungen und hat vermutlich noch die eine oder andere Schwachstelle.

Vorschläge zur Programmverbesserung und Fehlerberichte (gerne auch mit Screenshots) daher bitte gerne an sandholzer@vobs.at

5 Querverweise

Technisches Konzept Kinderschutz des OeAD:
https://digitaleslernen.oead.at/de/fuer-schulen/geraetemanagement-mdm/technisches-konzept-kinderschutz

Anleitungen zum technischen Kinderschutz, Bildungsministerium:
https://bildungsministerium.atlassian.net/wiki/external/M2QyMmNiZTEzYTQ0NDZmYjgwYjY4ODU5YzU2MDcwYmU