Ввод РЕД ОС в домен MSAD/Samba с помощью утилиты join-to-domain и вывод из домена

Подготовка к вводу в домен
Графический режим работы программы ввода/вывода РЕД ОС из домена
Консольный режим работы программы ввода РЕД ОС в домен
Устранение ошибки "В домене уже существует компьютер"
Консольный режим работы join-to-domain с входными параметрами

Окружение

• Версия ОС: 7.3
• Конфигурация ОС: Рабочая станция
• Редакция ОС: Стандартная
• Архитектура: x86_64
• Версия ПО: join-to-domain-1.2.3-1, join-to-domain-cli-1.2.3-1

В РЕД ОС доступна утилита join-to-domain, предназначенная для ввода компьютера в домен следующих типов: РЕД АДМ, Windows, Samba или IPA. 

В РЕД ОС утилита join-to-domain предустановлена по умолчанию, однако перед использованием необходимо обновить утилиту до последней версии (потребуются права администратора):

sudo dnf update join-to-domain

join-to-domain может выполняться в трех режимах:

• с графическим интерфейсом;

• в консоли (интерактивный режим);

• в консоли с входными параметрами.

Подготовка к вводу в домен

Информацию о подготовке клиентских машин к вводу в домен: 

• MSAD см. в нашей инструкции «Предварительная подготовка компьютера к вводу в домен MSAD».

• Samba см. в нашей инструкции «Предварительная подготовка компьютера к вводу в домен Samba».

Работа в графическом режиме

Ввод компьютера в домен

Для запуска join-to-domain в графическом режиме перейдите в «Главное меню» — «Системные» — «Ввод ПК в домен». Потребуется ввести пароль администратора системы.

После успешной аутентификации выберите тип домена «Домен РЕД АДМ/Windows/Samba» и нажмите «Продолжить».

Откроется основное окно, в котором необходимо заполнить поля:

• имя домена;

• имя компьютера — имя текущего ПК (клиента, который вводится в домен);

  Примечание.

  Допустимое имя компьютера должно соответствовать следующим условиям:

  • имя должно иметь длину от 3 до 15 символов;
  • имя должно состоять только из цифр (0-9), букв (a-z) и дефисов (-);
  • другие символы, например, символы подчеркивания (_) в имени хоста вызывают сбои DNS;
  • должны использоваться только строчные буквы латинского алфавита (a-z); прописные буквы (A-Z) не допускаются.

• имя администратора домена;

• пароль администратора.

Перейдите на вкладку «Дополнительные параметры» и при необходимости укажите дополнительные настройки. Здесь можно выбрать:

• используемый механизм аутентификации: sssd или winbind,

• использование собственного профиля authselect,

• назначение прав на группу «wheel» для доменной группы,  

• включение принудительного ввода в домен,

• активацию аутентификации по Kerberos на SSH-сервере;

• ограничение сбора информации об одном контроллере домена.

После нажатия на кнопку «Сохранить» начнется процесс присоединения ПК к домену. В случае успешного ввода в домен появится уведомление:

Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

Процесс ввода в домен, а также возможные ошибки при работе протоколируются в файл /var/log/join-to-domain.log.

Вывод из домена

Для вывода ПК из домена Windows запустите join-to-domain через «Главное меню» — «Системные» — «Ввод ПК в домен».

Программа определит, что РЕД ОС введен в домен и предложит выйти из него:

Заполните необходимые поля:

• имя администратора домена;

• пароль администратора домена;

• флаг «Использовать ldaps» должен быть установлен в случае, если настроено подключение к LDAPS. 

В случае успешного вывода из домена появится уведомление:

Консольный режим работы

Ввод компьютера в домен

Откройте консоль и выполните запуск join-to-domain с привилегиями суперпользователя root.

sudo join-to-domain

Введите имя домена. Программа запросит пользователя выбрать тип домена, к которому необходимо присоединить РЕД ОС, в данном случае необходимо выбрать первый пункт «Ввод РЕД ОС в домен РЕД АДМ/Windows/Samba».

Введите имя компьютера (допустимое имя компьютера должно иметь длину от 3 до 15 символов и содержать только латинские буквы, цифры и дефис), имя администратора домена и подтвердите ваши действия для начала процесса ввода ПК в домен.

Пример вывода:

Сценарий ввода РЕД ОС в домен РЕД АДМ/Windows/SAMBA, FreeIPA
Используется WINBIND/SSSD
Версия: 1.2.3
Последнее обновление: 17.03.2026

(c) РЕД СОФТ


 Выберите тип домена:
 1. Ввод РЕД ОС в домен Windows/SAMBA/РЕД АДМ
 2. Ввод РЕД ОС в домен IPA
 3. Ввод РЕД ОС c ldaps в домен Windows/SAMBA/РЕД АДМ
 Укажите (1, 2 или 3): 1 

 Имя домена [win.red]
 Для подтверждения нажмите ENTER или введите имя домена вручную: <имя_домена> 
 Введите имя ПК. Пример: client1
 Имя ПК: vm521 
 Имя администратора домена: admin 
 Домен win.red доступен!
 Введите пароль администратора домена: <пароль_администратора_домена> 
 Продолжить выполнение (y/n)? y 
 1) Изменение имени ПК
 2) Настройка chronyd
 3) Настройка hosts
 4) Ввод в домен ...
 5) Настройка sssd
 6) Настройка limits
 7) Настройка samba
 8) Ввод samba в домен и регистрация DNS записи
 Лог установки: /var/log/join-to-domain.log

 Выполнено. Компьютер успешно введен в домен! Перезагрузите ПК.

Протокол ввода в домен записывается в файл /var/log/join-to-domain.log.

Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

Вывод из домена

Для вывода РЕД ОС из домена выполните в консоли команду с привилегиями суперпользователя root:

sudo join-to-domain

Если компьютер введен в домен, join-to-domain это обнаружит и предложит вывести его из домена.

Пример вывода:

Сценарий ввода РЕД ОС в домен РЕД АДМ/Windows/Samba, FreeIPA
Используется WINBIND/SSSD
Версия: 1.2.3
Последнее обновление: 17.03.2026

(c) РЕД СОФТ

 Компьютер в домене.
 Компьютер введен в домен win.red. Вывести компьютер из домена?
 Продолжить выполнение (y/n)? y 
 Удаление учетной записи ПК из домена.
 Введите имя контроллера домена или для продолжения нажмите ENTER: <нажмите_ENTER> 
 Введите имя администратора домена: admin 
 Введите пароль администратора домена: <пароль_администратора_домена> 
 Компьютер vm521 выведен из домена.

Подтвердите действие, после чего начнется процесс вывода из домена, по окончании всех действий перезагрузите ПК.

Консольный режим работы join-to-domain с входными параметрами

Синтаксис

Утилита доступна для запуска через терминал при помощи команды следующего вида:

sudo join-to-domain [<параметры>]

Параметры

Основные параметры утилиты:

Параметр	Описание параметра
Общие параметры
-d, --domain	Имя домена.
-n, --pc-name	Имя ПК.
-u, --admin	Имя администратора домена.
-p, --password	Пароль администратора домена.
-y, --yes	Автоматическое подтверждение запросов при работе скрипта.
-h, --help	Показать справку.
-v, --version	Показать версию.
--delete-computer	Удалить учётную запись ПК из домена (без вывода ПК из домена).
--rc, --remove-cache	Удалить кеш SSSD (требует перезагрузки сеанса пользователя).
Параметры для доменов РЕД АДМ/Windows/Samba (все типы аутентификации)
-f, --force	Принудительный ввод/вывод из домена (игнорируется существующая учетная запись ПК).
--dc	Имя контроллера домена.
--force-dc	Принудительно использует контроллер домена из ключа --dc.
--ou	Имя подразделения компьютера (OU), формат "OU=МоиПК,OU=ОтделIT".
--wg	Имя домена — формат именования, который используется для совместимости с предыдущими версиями Windows (например, Windows NT 4.0, Windows 2000).
--disable-dns-update	Отключить обновление DNS-записей.
--add-kerberos-auth	Включить авторизацию Kerberos для присоединения ПК к домену РЕД АДМ/Windows/Samba (командой net ads join).
--sg	Предоставить права администратора доменной группе.
--sk, --ssh-krb5	Включить поддержку Kerberos-аутентификации для SSH.
Параметры типа аутентификации (РЕД АДМ/Windows/Samba)
-w, --winbind	Использовать Winbind вместо SSSD (без ключа -w используется SSSD+Winbind).
Параметры типа аутентификации (РЕД АДМ/Windows/Samba только с SSSD)
--use-ldaps	Использовать LDAPS (шифрование LDAP через SSL/TLS). Данный сценарий отрабатывает исключительно с SSSD, настройки smb.conf и winbind не производятся.
Параметры для SSSD+Winbind (РЕД АДМ/Windows/Samba с SSSD+WINBIND)
--lower-case	Приводить имена пользователей к нижнему регистру.
--save-case	Сохранять регистр имен пользователей, как в MSAD.
--dns-auth-none	Отключить аутентификацию при динамической регистрации DNS.
--custom-authselect-path	Пользовательский путь к профилю authselect.
--disable-authselect	Отключить создание/применение профиля authselect.

Примеры работы

Пример №1 — запуск с параметрами для Windows или Samba (основной способ, SSSD+Winbind):

sudo join-to-domain -d <имя_домена> -n <имя_ПК> -u <логин_администратора> -p <пароль>

Пример №2 — ввод в домен с добавлением ПК в OU:

sudo join-to-domain -d <имя_домена> -n <имя_ПК> -u <логин_администратора> -p <пароль> --ou "OU=МоиПК,OU=ОтделIT" --sg "<администраторы_домена>"

Пример №3 — удаление учётной записи ПК из домена:

sudo join-to-domain --delete-computer -u <логин_администратора> -d <имя_домена> -n <имя_ПК>

Пример №4 — ввод в домен с указанием контроллера и отключением DNS-обновлений:

sudo join-to-domain -d <имя_домена> -n <имя_ПК> -u <логин_администратора> -p <пароль> --dc <контроллер_домена> --disable-dns-update

Пример №5 — ввод в домен с включением Kerberos-аутентификации на SSH-сервере и сохранением регистра имен пользователей:

sudo join-to-domain -d <имя_домена> -n <имя_ПК> -u <логин_администратора> -p <пароль> --save-case --ssh-krb5

Решение возникающих проблем

При попытке присоединения компьютера к домену может появиться сообщение вида:

 В домене существует компьютер client1
 Удалите данную учетную запись компьютера в домене или укажите иное имя ПК.

Сообщение означает, что компьютер с таким именем уже зарегистрирован в домене, и попытка повторного входа вызывает конфликт.

Для устранения данной проблемы можно воспользоваться двумя подходами:

• принудительно записать введенное имя компьютера в домен, используя ключи -f или --force. Домен принимает ПК с указанным именем, при этом удаляя предыдущее регистрационное имя.

  Пример использования команды:

  sudo join-to-domain -f

• присвоить новому компьютеру уникальное имя, отличное от существующего в домене.

Дата последнего изменения: 20.04.2026

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.