Direkt zum Hauptinhalt

Vorbereitung des lokalen AD für den CCCS

Vorarlberger Standardschulinstallation
Verfasser: Kuno Sandholzer		 © 2026 IT-Regionalbetreuer Vorarlberg
6900 Bregenz, Römerstraße 14
Alle Rechte vorbehalten

1 Worum geht's?

Im Rahmen der technischen Umsetzung des Kinderschutzes bei den digitalen Endgeräten der Geräteinitiative des Bundesministeriums wurde eine technische Erleichterung angestrebt.

Dazu wurde eine automatisierte Verteilung und Verwaltung der MDM-Richtlinien über den CCCS eingerichtet. 

Die Eltern haben in weiterer Folge die Möglichkeit über das Bildungsportal bestimmte Einschränkungen freischalten zu lassen. Damit dieser Automatismus funktioniert, müssen die Benutzerkonten im Azure Active Directory (bzw. bei synchronisierten Usern im lokalen Active Directory) eindeutig zuordenbar sein.

Diese Zuordnung erfolgt über das Kennzeichen bPK-BF, welches in das Feld "Postleitzahl" bzw. "PLZ" im Azure Active Directory eingetragen werden muss. Die händische Zuordnung dieser Kennung ist bei größeren Schulen etwas mühsam. Das hier dokumentierte Programm PrepareADUsers soll diesen Vorgang erleichtern. Es trägt das Kennzeichen ins Active Directory ein, wodurch die Zuordung im Azure Active Directory nach der nächsten Synchronisierung erfolgen kann.

2 Wie erhalte ich das Programm?

Das Programm steht im Downloadbereich des VOBS zur Verfügung:

https://download.vobs.at/wp-content/uploads/RBService/PrepareADUsers/PrepareADUsers-0.8.3.msi

Sollte eine neuere Version des Programms zur Verfügung stehen, so weist das Programm unmittelbar nach dem Start darauf hin und bietet ein Update an. Die Durchführung eines allenfalls vorhandenen Updates wird dringend empfohlen.

3 Verwendung des Programms

Vor dem Start des Programms sollte die aktuelle Schülerliste als CSV entsprechend der Anleitung 

https://bildungsministerium.atlassian.net/wiki/external/MTA3MzE2MWM4ODdlNGNlYmJlYmU3MDlkMGExZmI4ZTA

heruntergeladen werden. 

Das Programm kann sowohl die Schülerinnenliste als auch die IP-Push-Userliste verarbeiten. Wichtig ist, dass die CSV-Datei die Schülernamen (Vorname, Nachname) sowie die eindeutige Kennung bPK-BF enthält.

Stand 13.04.2026:
Die aktuelle Schülerliste kann mit der normalen Lehrerrolle im Bildungsportal noch nicht mit der notwendigen bPK-BF heruntergeladen werden. Mit der Rolle des Systemadministrators kann eine Benutzerliste über ID Push heruntergeladen werden, die verwendet werden kann. Für Benutzer mit der Rolle des Direktors bzw. des Bildungsportal-Administrators ist die bPK-BF in der normalen Schülerliste verfügbar.

Das Programm PrepareADUsers.exe sollte nach dem Download auf dem Domaincontroller (Vorarlberger Standardinstallation: DCSchule) installiert werden. Der verwendete Benutzer muss Schreibrechte im Active Directory besitzen (Domänen-Administrator). Nach der Installation erscheint ein Alias des Programms auf dem Desktop:

image.png

Ein Doppelklick startet das Programm:

image.png

Im Auswahlfeld "Start-OU" werden alle im lokalen Active Directory gefundenen OUs angeführt. Hier wird angegeben, welche OU (inklusive der untergeordneten OUs) verwendet werden soll, um nach passenden Einträgen im Active Directory zu suchen. Hier sollte die niedrigstmögliche OU angegeben werden, um alle Schüler:innenkonten zu erreichen, aber keine unnötigen Konten einzuschließen.
Vorarlberger Standardinstallation: OU=Schueler_individuell, OU=Benutzer, OU=Schule, DC=schule, DC=aps

3.1 Benutzer importieren und automatisch zuordnen

Mit der Schaltfläche "Usernamen (CSV) importieren" wird die vom Bildungsportal heruntergeladene Datei ausgewählt. Diese sollte dazu natürlich vorab auf den Domaincontroller kopiert worden sein:

image.png

Umgehend nach dem Import gleicht das Programm die Namen aus der CSV-Datei mit den Namen im Active Directory ab. Dazu werden die Vornamen und die Nachnamen verglichen.

image.png

  • grüne Zeile: Vorname und Nachname stimmen genau überein
  • gelbe Zeile: Vorname und Nachname stimmen großteils überein, das Programm vermutet eine Übereinstimmung. Gelbe Zeilen sollten jedenfalls nochmal kontrolliert werden
  • weiße Zeile: zu einem Namen in der CSV-Datei wurde keine passende Übereinstimmung im Active Directory gefunden. Diese Konten müssen manuell zugeordnet werden. In diesem Beispiel sind davon drei Schüler:innen betroffen.

Benutzer, die in der CSV-Datei enthalten sind und im AD bereits einen Eintrag im Feld "PLZ" haben, werden in der Liste nicht mehr angeführt.

3.2 Benutzer manuell zuordnen

Bei allen Zeilen kann durch einen Doppelklick die Zuordnung geändert werden. Bei weiß markierten Zeilen ist diese manuelle Zuordnung notwendig:

image.png

Über die Eingabezeile können die angezeigten Suchtreffer eingegrenzt werden. Es werden ausschließlich noch nicht zugeordnete Benutzerkonten innerhalb oder unterhalb der angegebenen OU angezeigt.

Mittels der Schaltfläche "Übernehmen" werden die Daten zugeordnet. Die Zeile wird nach der manuellen Zuordnung grün hinterlegt, die Anzahl der nicht zugeordneten Datensätze wird aktualisiert.

3.3 Zuordnung löschen

Ist eine Zuordnung nicht korrekt, so kann sie ausgewählt und mit der Schaltfläche "Zuordnung löschen" entfernt werden. Danach ist eine manuelle Zuordnung notwendig.

3.4 Daten an AD übertragen

Sind alle Zuordnungen erledigt, so können die Daten an das Active Directory mit der Schaltfläche "Daten an AD übertragen" übertragen werden. Dabei wird die bPK-BF in das Feld "PLZ" geschrieben und in weiterer Folge in das Azure Active Directory synchronisiert.

Vorher:

image.png

Nachher:

image.png

4 Bugreports

Da der Autor des Programms nur Zugriff auf die Daten von zwei Schulen hatte, waren die Testmöglichkeiten eingeschränkt. Das ist auch der Grund für die noch niedrige Versionsnummer.

Es ist sehr ratsam, bei einer virtuellen Maschine vor der Ausführung des Programms ein Backup des Domaincontrollers durchzuführen und bei einer virtualisierten Umgebung eventuell einen Snapshot davor zu erstellen.

Grundsätzlich ändert das Programm nichts am Active Directory, bevor nicht bewusst die Schaltfläche "Daten an AD übertragen" betätigt wird.

Das Programm bietet noch Spielraum für Verbesserungen und hat vermutlich noch die eine oder andere Schwachstelle.

Vorschläge zur Programmverbesserung und Fehlerberichte (gerne auch mit Screenshots, Settings- und Logfile) bitte an sandholzer@vobs.at
Settingsfile und Logfile befinden sich im Verzeichnis %localappdata%\PrepareADUsers

5 Querverweise

Technisches Konzept Kinderschutz des OeAD:
https://digitaleslernen.oead.at/de/fuer-schulen/geraetemanagement-mdm/technisches-konzept-kinderschutz

Anleitungen zum technischen Kinderschutz, Bildungsministerium:
https://bildungsministerium.atlassian.net/wiki/external/M2QyMmNiZTEzYTQ0NDZmYjgwYjY4ODU5YzU2MDcwYmU

6 Changelog

## Version 0.8.3 - 12.04.2026

[UPDATE] - anstelle des AD-Feldes "Position" (title) wird nun das Feld "PLZ" (postalCode)
[FEATURE] - neues App-Icon

## Version 0.8.2 - 25.03.2026

[FEATURE] - bei der manuellen Schülerauswahl werden Schüler ausgeblendet, die im AD bereits einen Eintrag haben
[FEATURE] - VOBS-Logos gegen das neue Logo 2026 ausgetauscht
[FEATURE] - CSV wird auf verpflichtende Felder geprüft (Vorname, Nachname, bKBPF)
[FEATURE] - unnötige Felder werden aus der CSV gefiltert und nicht dargestellt
[FEATURE] - Personen mit der Rolle Lehrer/in und Direktor/in werden in der CSV-Datei ausgeblendet, falls vorhanden
[FEATURE] - Legende: grün -> genaue Namensübereinstimmung, khaki -> vermutete Namensübereinstimmung
[BUGFIX]  - Sind alle User bereits zugeordnet, erkennt dies das Programm und reagiert entsprechend
[FEATURE] - DataGrid (Useranzeige) auf ReadOnly gesetzt

## Version 0.8.1 - 23.03.2026

[BUGFIX] - CSV im Bildungsportal von Schülerliste verfügbar, das Feld heißt dort anders als bei der Liste von ID Push
[BUGFIX] - CSV der Schülerliste hat (im Gegensatz zu ID Push Schülerliste) keine Sokrates-ID mehr - übersehenes Überbleibsel
[FEATURE] - Beenden-Button hinzugefügt

## Version 0.8.0 - 22.03.2026

- erste publizierte Version

nach oben