UCS@schoolInfrastrukturIT-Admin

UCS@school erklärt: Das Rückgrat der digitalen Schule

Univention Corporate Server ist in vielen Bundesländern bereits Standard — und trotzdem für viele ein Rätsel. Was UCS@school ist, was es kann, und warum es die sinnvollste Grundlage für souveräne Schul-IT ist.

Maximilian Schauer Maximilian Schauer · 5. Mai 2026 · 5 Min. Lesezeit

Wenn IT-Administratoren an Schulen von UCS@school sprechen, reden sie oft an der Schulleitung vorbei — und umgekehrt. „Das ist die Sache mit den Nutzerkonten, oder?” Nicht ganz. Und gleichzeitig: Ja, im Kern schon.

Dieser Artikel erklärt, was UCS@school tut, warum es relevant ist, und wie openschooldesk darauf aufbaut.

Was UCS@school ist

UCS@school ist eine Distribution des Univention Corporate Server (UCS), speziell für den Einsatz an Schulen entwickelt. Es ist keine Schulsoftware im klassischen Sinne — kein Lernmanagementsystem, kein Stundenplan, keine Eltern-App.

UCS@school ist Infrastruktur. Es löst das Problem, das hinter fast jedem IT-Problem an Schulen steckt: Identitäten und Zugriffe zentral zu verwalten.

Konkret: Wenn eine Lehrkraft morgens das Klassenbuch öffnet, die Lernplattform aufruft und eine Videokonferenz startet — dann loggt sie sich einmal an, und alle drei Systeme akzeptieren diese Authentifizierung. Das ist möglich, weil UCS@school im Hintergrund als LDAP-Verzeichnis und Single Sign-On-Anbieter fungiert.

Das Problem, das UCS@school löst

Ohne zentrale Nutzerverwaltung sieht der Alltag an vielen Schulen so aus:

  • Für das LMS gibt es ein Passwort
  • Für die Videokonferenzlösung ein anderes
  • Für den Drucker-Zugang ein drittes
  • Für die Schulverwaltungssoftware ein viertes

Lehrkräfte merken sich Passwörter nicht — oder schreiben sie auf Zettel. Schülerinnen und Schüler vergessen sie regelmäßig. Der IT-Administrator verbringt einen erheblichen Teil seiner Arbeitszeit mit Passwort-Resets.

UCS@school beendet dieses Problem. Ein Verzeichnis, eine Identität, alle Dienste.

Wie UCS@school im Stack funktioniert

In einer typischen Schulinstallation übernimmt UCS@school mehrere Rollen gleichzeitig:

LDAP-Verzeichnis: Alle Nutzerkonten — Lehrkräfte, Schülerinnen und Schüler, Verwaltung — werden zentral in einem standardisierten Format gespeichert. Jede Anwendung, die LDAP versteht, kann diese Daten nutzen.

Kerberos-Authentifizierung: Für Windows-Clients in der Schule ermöglicht UCS@school transparentes Single Sign-On. Wer sich am Schulcomputer anmeldet, ist automatisch in allen Diensten eingeloggt.

Gruppen und Klassen: Klassen, Jahrgangsstufen, Fachgruppen — UCS@school kennt diese Strukturen und macht sie für alle angebundenen Dienste verfügbar. Das LMS kann automatisch die richtigen Schülerinnen und Schüler in die richtigen Kurse einschreiben.

Provisionierung: Wenn ein neues Schuljahr beginnt, können tausende Nutzerkonten mit einem Befehl angelegt, verändert oder deaktiviert werden. Keine manuelle Arbeit, keine vergessenen Konten von Schülerinnen und Schülern, die die Schule längst verlassen haben.

Die Kelvin API: UCS@school modern ansteuern

Lange Zeit war die Administration von UCS@school Kommandozeilen-Sache oder über ein webbasiertes Admin-Interface möglich. Seit einigen Jahren gibt es die Kelvin REST API — und sie verändert, wie Anwendungen mit UCS@school interagieren.

Die Kelvin API erlaubt es, Nutzer, Klassen und Schulen programmatisch zu verwalten. Für openschooldesk bedeutet das: Die Plattform kann Informationen direkt aus UCS@school lesen, ohne eine eigene Datenbank zu führen.

Warum das wichtig ist: Kein Datensilos, keine Synchronisationsprobleme, keine Situation, in der das Klassenbuch andere Klassen kennt als das LMS. Eine Quelle der Wahrheit.

Aus Sicherheitsperspektive: Tokens für die Kelvin API bleiben serverseitig (httpOnly-Cookies). Der Browser eines Nutzers sieht niemals einen Access Token. Alle Anfragen laufen über einen serverseitigen Proxy — das schützt vor einer ganzen Klasse von Angriffen, die bei client-seitigem Token-Handling möglich wären.

Was UCS@school nicht ist

Genauso wichtig wie das, was UCS@school kann, ist das, was es nicht tut:

  • Es ist kein LMS. Moodle, Nextcloud Learning oder andere Lernplattformen müssen separat betrieben werden — und werden über UCS@school authentifiziert.
  • Es ist kein Stundenplan-System. Die Stundenplan-Daten kommen typischerweise aus einem separaten System (Untis, WebUntis) und können importiert werden.
  • Es ist keine Eltern-App. Die Kommunikation mit Eltern braucht eine separate Anwendung — die über UCS@school-Identitäten authentifiziert werden kann.

Genau hier setzt openschooldesk an: als Dashboard und Integrationslayer, der die vorhandene UCS@school-Infrastruktur nutzbar macht — ohne sie zu ersetzen oder zu duplizieren.

Warum Bundesländer auf UCS@school setzen

UCS@school ist in mehreren Bundesländern als Referenzimplementierung anerkannt oder in Ausschreibungen explizit genannt. Das hat pragmatische Gründe:

Datenschutz und DSGVO: UCS@school läuft vollständig on-premise. Keine Daten verlassen den Schulträger-Bereich, es sei denn, das ist explizit gewünscht.

Herstellerunabhängigkeit: Univention ist ein deutsches Unternehmen, der Quellcode ist öffentlich (AGPLv3). Schulträger können den Code prüfen lassen, eigene Beiträge leisten und den Betrieb an einen anderen Dienstleister übergeben, ohne die Daten zu verlieren.

Interoperabilität: Weil UCS@school auf offenen Standards (LDAP, Kerberos, OIDC) basiert, lassen sich nahezu alle gängigen Open-Source-Tools anbinden. Nextcloud, Moodle, Rocket.Chat, BigBlueButton — sie alle verstehen LDAP.

Einstieg: Was Sie brauchen

Eine UCS@school-Installation setzt typischerweise voraus:

  • Einen Server (physisch oder virtuell), der als Primary Directory Controller läuft
  • Optional: Schulserver an dezentralen Standorten (Secondary Directory Controller)
  • Eine funktionierende Netzwerkinfrastruktur (VPN zwischen Schulen und Schulträger)

Die Provisionierung übernimmt openschooldesk mit einem einzigen Skript, das die Basiskonfiguration — Hypervisor, Netzwerk, UCS@school, angebundene Dienste — automatisch einrichtet. Was früher Tage dauerte, läuft in unter 15 Minuten.

Fazit

UCS@school ist das unsichtbare Fundament, auf dem souveräne Schul-IT steht. Es löst das grundlegendste Problem — Wer darf was? — auf eine Weise, die standardkonform, skalierbar und vollständig unter der Kontrolle des Schulträgers bleibt.

Wer UCS@school versteht, versteht, warum openschooldesk nicht bei null anfängt: Es baut auf einer Infrastruktur auf, die in tausenden deutschen Schulen bereits läuft — und macht sie für Lehrkräfte, Schülerinnen und Schüler und Eltern nutzbar.

Maximilian Schauer
Maximilian Schauer
M.Sc. Wirtschaftsinformatik, Abschluss mit Fakultätspreis ausgezeichnet. Abschlussarbeit über Skalierbarkeit von LDAP-basierten Identitätssystemen in heterogenen Schulnetzwerken. Anschließend mehrere Jahre als IT-Consultant mit Schwerpunkt öffentliche Verwaltung und Bildungseinrichtungen in Bayern. Spezialisiert auf Open-Source-Infrastruktur, IT-Sicherheit nach BSI-Grundschutz und Total-Cost-of-Ownership-Analysen für Schulträger. Zertifizierter ISO-27001-Auditor (TÜV Rheinland). In seiner Freizeit fährt er leidenschaftlich Rennrad — Alpenpässe gelten ihm als bester Ausgleich zur Bildschirmarbeit.

openschooldesk für Ihre Schule

Souveräne Schul-IT, DSGVO-konform und Open Source — wir zeigen Ihnen die Plattform live an Ihrer Schule.

Demo anfragen arrow_forward
arrow_back Alle Artikel