Vorbereitung der Computerpoolräume und Netzwerke für Safe Exam Browser
Computerpoolräume und Netzwerke für interne und externe E-Prüfungen vorbereiten für Safe Exam Browser
Es soll hier eine Anleitung gegeben werden, die E-Prüfungen mit minimalen Aufwand umsetzbar machen mit Hilfe des Safe Exam Browsers.
Mit Linux Betriebssystemen läßt sich durch zugeschnittene Benutzerkonten eine ähnliche Umgebung schaffen wie durch den Safe Exam Browser. Hierzu mehr in Computer und Netzwerke für interne und externe E-Prüfungen in Linux-Computerpoolräumen. Allerdings erfordert dies für zugeschnittene Prüfungsszenarien üblicherweise mehr Zusammenarbeit zwischen Prüfungsleitung und Computerpooladminstration als beim Einsatz des Safe Exam Browsers.
Gerade für Windows und MAC Computerpoolräume ist der Safe Exam Browser zu empfehlen.
Eine Anleitung zur Erstellung von Safe Exam Browser Konfigurationen finden Sie unter Safe Exam Browser Configs für heterogene Computerräume und hochschulübergreifend kompatibel schreiben
Safe Exam Browser Installationstypen
Es wurden an der TUDa einige Methoden erprobt den Safe Exam Browser auf Computerpoolraumrechnern zu verwenden. Die erprobten Szenarien werden hier genannt.
- Safe Exam Browser auf einem Computer mit lokalen Betriebssystem als Programm lokal zu installieren. Damit ist der SEB in vollem Umfang verwendbar einschließlich SEB Dienst und Browser Exam Keys (So Eingesetzt im Computerpool des TUDa FB 13 Bauingenieure).
- Safe Exam Browser wird auf einem Thinclient verwendet beispielsweise mit Citrix. Die Installation des Safe Exam Browsers findet auf dem virtuellen Windows, dass für die Thin Clients zur Verfügung gestellt wird statt ) ~ Safe Exam Browser ist hier auf in vollem Umfang verwendbar mit SEB Dienst und Browser Exam Keys allerdings müssen in dieser Variante virtuelle Maschinen, Screen sharing /remote sessions und das Ignorieren von Bildschirm Warnungen zugelassen werden. (HRZ Computerpoolräume der TUDa oder der GU oder der H_da
- Safe Exam Browser wird so zusagen portabel gemacht. Das bedeutet auf einem Netzlaufwerk der SEB entpackt abgelegt. Das Netzwerklaufwerksverzeichnis wird gegen Änderungen geschützt, aber zugänglich gemacht. Der Safe Exam Browser wird über eine Batch gestartet mit einer Startconfiguration als Argument für den Safe Exam Browser. Es muss das Microsoft ".net Framework" installiert sein ~ SEB ist nicht installiert, das bedeutet, dass der SEB Dienst nicht auf den Computern läuft. In den Konfigurationen des SEB muss der SEB Dienst deaktiviert werden. Bei der normalen Installation des SEB wird auch ein passendes .net Framework installiert - hier kann irgendeine Version davon installiert sein. Das führt bei der Browser Exam Key Genierung unter Umständen zu anderen Keys als bei normal installierten Safe Exam Browser. Also BEK abschalten. Ein Vorteil: bei einer neuen Safe Exam Browser Version muss nur der Inhalt des SEB Netzwerkverzeichnisses geändert werden.(TUDa IIM)
- Safe Exam Browser wird auf unvorbereiteten Computern verwendet. Beispielsweise wird ein USB Stick vorbereitet mit einem entpackten Safe Exam Browser, den notwendigen Configs und Kopier- und Startbatch. Ein ".net Framework" muss installiert sein. Für die Batches werden Schreibrechte auf einem lokalen Speichermedium gebraucht. Nachdem SEB gestartet ist kann der USB Stick gezogen werden. ~ Die Einschränkungen sind die gleichen wie beim Aufruf über das Netzwerkverzeichnis. (TUDa FB15)
Alle Varianten wurden schon in verschiedenen Konstellationen gemeinsam ausprobiert.
Wenn es Optionen gibt zwischen den Installationsmethoden zu wählen, dann ist eine der beiden Methoden mit regulärer Installation zu wählen.
Die Versionen sind möglichst aktuell zu halten ist alle 6 Monate mit einer neuen Version zu rechnen. Die Verbesserungen zumeist relevant.
Startkonfiguration für Safe Exam Browser
Die Startkonfigurationen für den Safe Exam Browser zeigen im Prinzip nur auf die Prüfung. Es wird üblicherweise keine spezifische Einstellung gemacht bezüglich Hilfsmittel wie Webseiten oder lokale Programme. Auch Funktionstasten oder Einstellungen des internen Webbrowsers sind hier nicht final, denn all die speziellen Aspekte werden von einer Hauptkonfiguration bzw. Klausurkonfiguration die im Fall von Moodle in einer Aktivität vom Test hinterlegt passend nachgestellt werden on thy fly. Mit andern Worten bleibt die URL der Prüfung gleich, dann kann diese passend eingestellt werden ohne die Startkonfiguration zu ändern.
Die Startkonfiguration wird geeignet mit Benutzkonto verwendet. Es gibt einige Methoden sind im Einsatz:
- Die Startkonfiguration wird in den Autostart für die vorgesehenen Benutzerkonto eingefügt. Das ist am bequemsten Aufsichten und Prüfungsteilnehmende. Entweder als seb Datei direkt starten, wenn der SEB normal installiert wurden oder als Batch in der SafeExamBrowser.exe gestartet mit dem Startkonfiguration in der Argumentübergabe/Startparameter. (TUDa Methode IIM)
- Die Startkonfiguration wird im Startmenu oder auf dem Desktop hinterlegt. Die Aufsicht hat die Verantwortung, dass die Startkonfiguration gestartet wird und keine andere. Entweder als seb Datei direkt, wenn der SEB normal installiert wurden (TUDa Methode FB13) oder als Batch in der SafeExamBrowser.exe gestartet mit dem Startkonfiguration in der Argumentübergabe/Startparameter. (TUDa Methode FB13 und IIM)
- Die Startkonfiguration wird in einem Safe Exam Browser Verzeichnis als Standardkonfig hinterlegt. Beim Starten des Safe Exam Browser wird diese direkt geladen. Der Safe Exam Browser selbst ist ein Autostart Programm. Für die nächste Prüfung wird, dann eine frische Startkonfiguration als Standardkonfiguration hinterlegt. Die Startkonfiguration wird in: $User$\AppData\Roaming\SafeExamBrowser kopiert und in sebClientSettings.seb unbenannt. (Methode von der GU)
- Die Startkonfiguration wird von einem USB Stick der Aufsicht gestartet.Entweder als seb Datei direkt starten, wenn der SEB normal installiert wurden oder als Batch in der SafeExamBrowser.exe gestartet mit dem Startkonfiguration in der Argumentübergabe/Startparameter.(TUDa Methode FB15 oder Backup-Methode im Notfall)
Die verschiedenen Methoden sind alle erprobt und können eingesetzt werden. Wenn es Optionen zur Umsatzung gibt, dann ist die Methode der GU zu empfehlen (dritter Bullettpoint) oder ein Autostart per Batch in vorbereiteten Prüfungsusern wie TUDa Methode IIM (erster Bullettpoint).
Benutzerkonten für Prüfungsteilnehmende
Die Benutzerkonten für EPrüfungen können sehr stark varrieren. Die verschiedenen Konzepte werden kurz vorgestellt:
- Feste Prüfungsuser für alle Poolraumcomputer
Diese User hat die Aufsicht oder technisches Personal einzuloggen oder werden per voreingestellten Autostart eingeloggt. Das Passwort ist geheim zu halten insbesondere, dann wenn Safe Exam Browser nicht automatisiert gestartet wird, sondern von der Aufsicht. Üblicherweise bietet sich genau bei diesen Konten an den Safe Exam Browser automatisisert zu starten. Bei dieser Art Benutzerkonto ist es wichtig, dass das Userverzeichnis lokal geführt wird und nicht zurücksynchronisiert wird. Bei einem Dateieinsatz sollen die Prüfungsteilnehmenden nicht gegenseitig in Ihre erzeugten Dateien schauen können. (TUDa IIM, FB15) - Feste Prüfungs für alle Poolraumcomputer ohne Autostart
Die Eigenschaften des Benutzerkontos sind wie bei 1. mit dem Unterschied, dass die Logins des Prüfungsbenutzers geheim gehalten werden müssen oder das Konto zeitweise stillgelegt wird, weil der Computer ohne den Safe Exam Browser anonym und frei verwendbar wäre. Die Aufsicht startet die Klausur an jedem Rechner manuell mit einer vorbereiteten Methode.(TUDa FB13) - Personalisierte allgemeine Computerpoolraum-Benutzerkonten mit SSO oder hochschulweiten Benutzerkonten
Es sind normale Benutzerkonten, die nicht lokal hinterlegt sind. Die einzige Vorbereitung ist den Safe Exam Browser zu installieren für diese Benutzerkonten. Der Administrative Aufwand genau für diese Benutzer den Safe Exam Browser per Autostart zu starten ist wahrscheinlich nur mit einer geeigneten Managementlösung sinnvoll gestaltbar. Ansonsten müssen die Prüfungsteilnehmenden selbstständig die Klausur starten, was der aktuelle Stand ist. (TUDa HRZ) - Personalisierte Computerpoolraum-Benutzerkonten des Computerpoolraumbetreibers
Diese Art ist nur praktikabel, wenn die Prüfungsteilnehmenden schon bisher Kurse oder andere Veranstaltungen oder Angehörige der Verwaltungseinheit des Computerpoolraums sind, falls nicht müssen Benutzerkonten angelegt werden. Der Autostart nach einloggen ist ähnlich wie bei 3. mit Management einzurichten, jedoch gibt es zwei Spezialfälle, welche die Administration erleichtern könnten. Der Spezialfall, dass nur ein Computerpoolraum verwaltet wird, würde dafür sorgen, dass alle (studentischen) Benutzerkonten zeitweise mit einem Autostart ausgesattet werden, wenn eine Prüfung ansteht. Der andere Spezialfall ist, dass alle Computerpoolräume einer Computerraumadministration einer zu veranstaltenden E-Prüfung zugeordnet werden und auch alle Benutzerkonten zeitweise den Autostart verwenden. Falls dies nicht der Fall, dann müssen die Prüfungsteilnehmenden wissen wie Sie in die Klausur zu navigieren zu haben. (TUDa IIM für FB16 Angehörige mit Selbstnavigation getestet) - Einwegbenutzer
Diese Sorte Benutzer hat den Vorteil, dass es schwierig wird mit anderen Prüfungsteilnehmenden Logins zu tauschen, um Betrugsversuche über synchronisierte Verzeichnisse zu starten, wenn der Safe Exam Browser verlassen werden kann. Nachteil ist ein gewisser logistischer Aufwand. Entweder werden die Benutzerkonten fest Prüfungsteilnehmenden zugewiesen oder durch den Sitzplatz verteilt beides führt zu einem Tabelle+Tischkarte Konzept. Alternativ und moderner ist über die Netzwerkverkehrsdaten(IP-Adressen und Login) am Prüfungssystem herauszufinden, wer an welchem Computer saß, weil der Login am Betriebssystem keinen Unterschied machen sollte. Diese Benutzerkonten sind besonders effizient, wenn diese mit einer Form des Autostarts des Safe Exam Browser ausgestattet werden, wie beispielweise an der GU. Diese Art Benutzerkonto ist nur sinnvoll mit einem passenden Managementsystem. Die Benutzerkonten können pseudomysiert sein und somit im Vorfeld nach erwarteter Anzahl erstellt werden. (HRZ GU und H_Da)
Viele Wege führen zum Ziel und insbesondere sind Support-Teams und Aufsichten mit Lösungen zufrieden die einen Automatisierten Start in das Prüfungsystem ermöglichen. Nach Möglichkeit wäre Variante 1 oder 5 mit Autostart umzusetzen.
Netzwerke und Firewalleinstellungen der Computerpoolräume
Netzwerk der Computerpoolräume
Das Netzwerk muss von außen sichtbar sein für das eingesetzte Prüfungssystem.
Das Subnet oder die IPs oder die IP-Range der Computerpoolraumrechnern muss benennbar sein für IP Filter wie beispielweise in Moodle Test. Die IP-Range, das Subnet oder der zuständige Proxy wird zur Prüfungsabsicherung gebraucht. Beim Einsatz verschiedener Computerpoolräume werden beispielsweise einfache Netzwerke in den Filter eingetragen.
Spezialfall Thin Clients hier wird die IP-Range des "Serverracks" gebraucht auf dem das Betriebssystem läuft - nicht das Netzwerk in dem Thin-Clients sind.
Prüfungsleitungen oder Supporteam brauchen nur die Netzwerke zu kennen, diese freizugeben.
Firewall
Beim Einsatz des Safe Exam Browser kann im Prinzip jeder normale Internetverkehr und Webtraffic freigeschaltet werden, weil der Safe Exam Browser für den internen Webbrowser das URL Filtering übernimmt.
Das offene Internet ermöglicht somit auch freies oder eingeschränktes Recherchieren, wenn dies gestattet wurde ohne andauernde Anpassungen der Firewallregeln. Die Handhabung von Prüfungssystemen wird erhbelich einfacher, weil keine besonderen Maßnahmen notwendig werden. Damit kann mit jeglichen Prüfungssystem operiert werden, was über das freie Internet kommunizieren darf. Insbesondere verteiltes Prüfungen einer Hochschule als Gast bei anderen Hochschulen wird damit möglich.
Für Prüfungsszenarien ohne Safe Exam Browser ist ein Kiosk auf anderem Wege oder mit Protokollierung der Benutzerinteraktionen zu arbeiten wie es bei der Fernaufsicht üblich ist oder die Aufsicht muss genauer hinschauen.
Die Zugangskontrolle zu Dateien und Webseiten liegt bei den Prüfungsleitungen oder Supporteams, welche den Safe Exam Browser einstellen und die Ressourcen in der EPrüfung verlinken.
Programme auf den Computerpoolraumarbeitsplätzen
Der Einsatz von Programmen ist im Safe Exam Browser aktivierbar. Die Prüfungsleitungen oder Support-Teams brauchen lediglich die Pfade zu den Programmen und die Exetables zu kennen für ein Whitelisting. Bei komplexen Programmen wie CAD Entwicklungsumgebungen mit Produkdatennaken können mehrere Programme mit Parametern notwendig werden. Bei allen nicht personalisierten Benutzerkonten reicht das Wissen wie die Executables heißen.
Beim Einsatz von Programmen sind zwei Sorten von logistischer Probleme zu klären. Sind die gewünschten Programme überhaupt im Portfolio, falls nein können diese ersetzt werden, nachinstalliert oder ausgelassen werden? Das andere Problem können Software Lizenzen werden, die unter Umständen grunsätzlich erworben würden müssten oder an Personen gebunden sind statt an Computer.
Für die einfachen E-Prüfungen sollte dieses Thema eher weniger relevant sein, weil verschiedene Office Programme ziemlich sind und immer mehr Applikatioen im Web existieren.
Kleinster gemeinsamer Nenner: Keine lokalen Programme außer SEB - keine Probleme
Computerarbeitsplätze und Peripherie
Die Computerarbeitsplätze brauchen als minimale Peripherie Maus, Tastatur und Bildschirm für die Prüfungsteilnehmenden.
In manchen Szenarien brauchen die Aufsichten oder der Support ein USB Zugang.
Alle weiteren Geräte sind ähnlich wie lokale Programme individuell zu testen in der Safe Exam Browser Umgebung. Die Prüfungsleitungen und der Support brauchen dabei möglicherweise Unterstützung von der Computerpoolraumadministration. Stellwände oder Trennwände können erforderlich werden, wenn die Computerarbeitsplätze sehr eng nebeneinander sind. Alternativ können auch Sichtschutzfolien angemessen sein.
Rechtliches insbesondere bei hochschulübergreifender Zusammenarbeit
Versicherungen?
Üblicherweise sind Behörden nicht versichert. Für eventuelle Schäden haftet das Bundesland.
Teilnahmelisten für Computerpolraumbetreiber: Schadensfallverfolgung
Im Prinzip genügt es, wenn das Prüfungsystem die verwendeten Logins und IP-Adressen der Computer festhält. Über die IP Adresse ist der Computer bekannt, der verwendet wurde üblicherweise. Mit dem Login am Prüfungssystem ist gehalten wer den Computer verwendet hat.
Im Schadensfall kann die Veranwortlich Person genannt werden.
Im Vorfeld ist zu klären, ob die Lagerungsdauer der Verkehrdatensicherung des externen Prüfungssystems ausreichend ist.
Eine zusätzliche Vereinbarung kann sein, dass die Aufsicht bei der Ausweiskontrolle, die Computernummer bzw. Thin Clientnummer aufnimmt.
Teilnahmelisten für eigene Aufsichten in externen Klausuren
Es gibt Situationen bei denen unzweckmäßig wäre, dass eine Aufsichtsperson von einer anderen Hochschule anreist. Beispielsweise Unite! Projekt kann davon profitieren oder auch schlichtweg keine Aufsicht mehr verfügbar, weil die Prüfung eh schon riesengroß ist und externe Computerpoolräume braucht.
Es gibt einige Varianten wie gearbeitet werden kann:
- Variante alles per EPaper
Die eigenen Aufsichten unterschreiben eine Geheimhaltungserklärung gegenüber der Hochschule, welche die Klausur anbietet. Es wird eine Vereinbarung getroffen, dass die Aufsichten mit Protokollen und Anmeldelisten arbeiten dürfen im Prüfungsystem und geeignete Kommunikationskanäle zur Prüfungsleitung offen halten, um auch Ansagen der Prüfungsleitung weitergeben zu können- im Prinzip ein kleiner AVV.
Zwischen den Betreibern des Prüfungssystems und der Hochschule mit den Computerpoolräumen ist noch eine Vereinbarung zu treffen, dass die Mitarbeiter im Prüfungssystem geführt werden dürfen - Prinzip auch ein kleiner AVV. Es würden folgende Daten gebraucht werden: Name, Vorname, Email-Adresse, Organisationseinheit Wenn Shibbolteh möglich ist zwischen den Hochschulen, dann werden die Vereinbarungen. - Variante Tischkarte
Die Prüfungsteilnehmenden finden auf jedem Platz ein Stück Papier mit dem Login, ggf. Rechnernummer und dem Titel der Klausur. Auf dem Blatt ist ein Formularabschnitt mit Name, Email, Matrikelnummer und Datum + Unterschrift
Streng genommen muss diese Datenhaltung per AVV festgehalten werden auch, wenn es Papier ist.
Diese Tischkarte wäre zusammen mit Lichtbildausweis, Person und verwendetem Benutzerkonto des Prüfungssystems zu vergleichen. Die Ausweiskontrolle und Protokollführung kann wie in der EPaper Variante durchgeführt werden oder die Tischkarten werden in einer Tabelle eingetragen und erfolgte Identätsfeststellung an die Ausrichtende Hochschule gesendet. Vorteil ist, das die Ermittlung des Verursachers im Schadensfall kein Anfrage bei der ausrichtenden Hochschule erfordert. - Variante Papierliste
Die Anwesenheitsliste wird streng genommen per Post verschickt und wird zusammen mit dem Protokoll wieder per Post zurückgeschickt. Streng genommen wird hier auch ein AVV und eine Geheimhaltungsverpflichtung benötigt, weil die Daten nur in einem anderen Medium verschoben werden. Die Daten müssen, dann von der ausrichtenden Organisation vom Papier in elektronische Tabellen zu übertragen.
Empfehlung ist die elektronische Aktenführung direkt über das Prüfungssystem, weil die Abkommen die zu treffen sind unabhängig vom Medium sind.