2.9.20.1.4 Ввод РЕД ОС в домен MSAD и вывод из домена с помощью консольных команд
Скачать документ
Ввод в домен консольными командами
Быстрый ввод клиентских машин в домен консольными командами
Ограничение доступа к ПК для доменных пользователей
Вывод клиентских машин из домена консольными командами
Окружение
- Версия ОС: 7.3
- Конфигурация ОС: Рабочая станция
Имя ПК должно содержать только буквы (a–z), цифры (0–9), знак минус (-) и точку (.).
Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9 и ниже.
Вы можете подробнее ознакомиться с информацией по вводу компьютера в домен, просмотрев наши обучающие видео:
-
на RuTube — Ввод ПК с РЕД ОС в домен Windows;
-
в Яндекс.Дзен — Ввод ПК с РЕД ОС в домен Windows;
-
в VK Видео — Ввод ПК с РЕД ОС в домен Windows.
На наших каналах вы также сможете найти много другой полезной информации.
Ввод в домен консольными командами
Подключитесь к домену Active Directory с помощью realmd.
Realmd (Realm Discovery) — это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MSAD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP). Также может использоваться Winbind.
- Настройка NTP клиента.
Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:
sudo nano /etc/chrony.conf
Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:
server <FQDN_контроллера_домена> iburst
После изменений конфигурационного файла перезапустите chronyd:
sudo systemctl restart chronyd
Проверьте статус службы chronyd:
systemctl status chronyd
В статусе должно отображаться active (running).
Проверка параметров синхронизации времени:
chronyc tracking
Пример вывода команды:
Reference ID : 192.168.1.196 (dc.win.redos) Stratum : 4 Ref time (UTC) : Thu Apr 23 08:09:04 2026 System time : 0.000553220 seconds slow of NTP time Last offset : -0.000711319 seconds RMS offset : 0.000711319 seconds Frequency : 3.727 ppm slow Residual freq : -11.771 ppm Skew : 0.262 ppm Root delay : 0.013773891 seconds Root dispersion : 0.000557569 seconds Update interval : 64.3 seconds Leap status : Norm
- Установите необходимые пакеты, если они ещё не установлены.
sudo dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
- Выполните команду поиска домена.
realm discover <имя_домена>
Не рекомендуется использовать домен .local! Он зарезервирован для автоматически конфигурируемых сетей.
В некоторых случаях требуется отключение mDNS.
Для отключения mdns4 выполните команду:
sudo authselect disable-feature with-mdns4
- Введите компьютер в домен, указав логин и пароль администратора домена.
sudo realm join -U -v <имя_администратора_домена> <имя_домена>
Пример:
sudo realm join -U -v администратор win.redos
При успешном вводе ПК в домен в конце отобразится сообщение «* Successfully enrolled machine in realm».
- Если ввести команду
realm list, то отобразится информация о домене, а в консолиUsers and Computersдомена Active Directory появится новый компьютер. Выполните команду:
realm list
Пример вывода команды:
win.redos type: kerberos realm-name: WIN.REDOS domain-name: win.redos configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %U@win.redos login-policy: allow-realm-logins
- Некоторые действия и информацию можно получить с помощью утилиты
adcli:
adcli info win.redos
Пример вывода команды:
[domain] domain-name = win.redos domain-short = WIN domain-forest = win.redos domain-controller = dc.win.redos domain-controller-site = Default-First-Site-Name domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable full-secret ads-web domain-controller-usable = yes domain-controllers = dc.win.redos [computer] computer-site = Default-First-Site-Name
- Откройте для редактирования файл /etc/sssd/sssd.conf.
sudo nano /etc/sssd/sssd.conf
Приведите строки к указанному ниже виду:
use_fully_qualified_names = False ad_gpo_access_control = permissive
где:
use_fully_qualified_names = False— отключение режима полных имён для пользователей;ad_gpo_access_control = permissive— режим политики GPO входа пользователя в систему. В данном примере GPO оценивается, но не применяется.
- Разрешите доменным пользователям создавать домашние директории с помощью команды:
sudo authselect select sssd with-fingerprint with-gssapi with-mkhomedir with-smartcard --force
- Отредактируйте конфигурационный файл /etc/krb5.conf.
Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf закомментируйте строку:
default_ccache_name = KEYRING:persistent:%{uid}
После нее вставьте строку:
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
Изменить значение параметра также можно следующей командой:
sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf
В секцию [libdefaults] добавьте параметр default_realm = <ИМЯ_ДОМЕНА>.
Пример записи для домена win.redos:
default_realm = WIN.REDOS
Добавить параметр также можно следующей командой (вместо <ИМЯ_ДОМЕНА> укажите название своего домена ПРОПИСНЫМИ буквами):
sudo sed -i '/krb5cc_%{uid}/a default_realm = <ИМЯ_ДОМЕНА>' /etc/krb5.conf
Данный параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).
Получите билет Kerberos:
kinit user
Пример вывода команды:
Password for user@WIN.REDOS: <введите_пароль>
Клиент Kerberos в РЕД ОС использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MSAD. Windows Server 2008 такой алгоритм шифрования не поддерживает. Потребуется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите:
[libdefaults] ... default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5 default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5 preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.
- Проверьте состояние службы sssd:
systemctl status sssd
В статусе должно отображаться active (running).
- Пример настройки файла конфигурации /etc/samba/smb.conf.
В блоке [global] указываются общие настройки.
Укажите данные домена для параметров workgroup и realm:
# Короткое имя домена в верхнем регистре workgroup = WIN # Домен в верхнем регистре realm = WIN.REDOS
# тип аутентификации, используемый для подключения к домену. security = ADS # определяет базу данных, которая будет использоваться для хранения учетных записей. passdb backend = tdbsam # определяет, будет ли winbind перечислять группы из домена. winbind enum groups = Yes # определяет, будет ли winbind перечислять пользователей из домена. winbind enum users = Yes # определяет, будет ли winbind перечислять пользователей из домена. winbind offline logon = Yes # определяет, будет ли использоваться домен по умолчанию при входе в систему пользователей без указания имени домена. winbind use default domain = No # определяет, будет ли winbind обновлять билеты Kerberos. winbind refresh tickets = Yes # определяет время кеширования ID-отображений. idmap cache time = 900 # настройки отображения ID между Windows и Unix. idmap config * : backend = tdb idmap config * : range = 10000-99999 idmap config SMBIND : backend = rid idmap config SMBIND : range = 100000-999999 # минимальная версия SMB-протокола клиента. client min protocol = NT1 # максимально возможная версия SMB-протокола клиента. client max protocol = SMB3 # путь к файлу ключей Kerberos. dedicated keytab file = /etc/krb5.keytab # метод аутентификации Kerberos. kerberos method = secrets and keytab # время обновления пароля машины. machine password timeout = 60 # определяет объекты VFS, используемые при монтировании файловой системы. vfs objects = acl_xattr # определяет, будет ли ACL-наследование применяться при создании файлов и каталогов. map acl inherit = yes # определяет, будут ли атрибуты DOS храниться в расширенных атрибутах файла. store dos attributes = yes printing = cups printcap name = cups load printers = yes cups options = raw
Настройки блока [global] завершены.
Далее следует изменить блок [homes], в котором необходимо указать настройки для доступа к папкам пользователей:
[homes] comment = Home Directories # "valid users" определяет список пользователей или групп пользователей, которые имеют доступ к ресурсу. # %S - подстановочный символ, который заменяется на имя текущей службы, # %D - подстановочный символ, который заменяется на имя домена, # %w - подстановочный символ, который заменяется на имя текущей машины. valid users = %S, %D%w%S # отключает/включает отображение данного ресурса в списке доступных ресурсов в проводнике или браузере файлов. browseable = No # разрешает запись на ресурс. read only = No # позволяет унаследовать доступы на файлы и каталоги, если они не были явно настроены для данного ресурса. inherit acls = Yes
В блоке [printers] укажите настройки для доступа к принтерам:
[printers] comment = All Printers path = /var/tmp # устанавливает, что данная секция является принтером. printable = Yes # права доступа для создания файлов. create mask = 0600 browseable = No
В блоке [print$] укажите параметры печати:
[print$] comment = Printer Drivers # путь к директории, которая будет использоваться для хранения драйверов принтеров. path = /var/lib/samba/drivers # список пользователей/групп, имеющих права на запись. write list = @printadmin root # устанавливает группу, которая будет установлена при создании файла/директории. force group = @printadmin # устанавливает права доступа для создания файлов. create mask = 0664 # устанавливает права доступа для создания директорий. directory mask = 0775
Настройка файла smb.conf завершена. Обратите внимание, что приведены примерные настройки, которые могут быть изменены при необходимости.
- Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера. Откройте файл /etc/sudoers для редактирования от пользователя root:
sudo nano /etc/sudoers
Добавьте в файл следующую строку:
%администраторы\ домена ALL=(ALL) ALL
Сохраните изменения (Ctrl + S) и закройте редактор (Ctrl + X).
Данный параметр можно добавить командой:
sudo sh -c "echo '%администраторы\ домена ALL=(ALL) ALL' >> /etc/sudoers"
- Перезагрузите компьютер и войдите в ОС под учетной записью доменного пользователя.
Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется).
Быстрый ввод клиентских машин в домен консольными командами
В данном разделе собраны команды из раздел «Ввод в домен консольными командами». Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).
1. Настройте NTP-клиент.
Введите FQDN контроллера домена.
sudo sed -i 's/server/#server/g' /etc/chrony.conf
sudo sh -c "echo 'server <FQDN_контроллера_домена> iburst' >> /etc/chrony.conf"
sudo systemctl restart chronyd
chronyc tracking
2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.
sudo dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation realm discover <имя_домена> sudo realm join -U -v <имя_администратора_домена> <имя_домена>
При успешном вводе машины в домен будет выведено сообщение «* Successfully enrolled machine in realm».
3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние директории.
sudo sed -i 's/use_fully_qualified_names = True/use_fully_qualified_names = False/g' /etc/sssd/sssd.conf sudo sh -c "echo 'ad_gpo_access_control = permissive' >> /etc/sssd/sssd.conf" sudo authselect select sssd with-fingerprint with-gssapi with-mkhomedir with-smartcard --force
4. Чтобы убрать предупреждение "rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)" при выводе команды testparm -s:
sudo sh -c "echo '* - nofile 16384' >> /etc/security/limits.conf" sudo sh -c "echo 'root - nofile 16384' >> /etc/security/limits.conf"
sudo sed -i '/\[libdefaults\]/a \ default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5\n default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5' /etc/krb5.conf
- Для доступа доменных пользователей к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно изменить параметр
default_ccache_name:
sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf
Добавление параметра default_realm = <ИМЯ_ДОМЕНА> в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо <ИМЯ_ДОМЕНА> укажите название своего домена ПРОПИСНЫМИ буквами):
sudo sed -i '/krb5cc_%{uid}/a default_realm = <ИМЯ_ДОМЕНА>' /etc/krb5.conf
- Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера. Данный параметр можно добавить командой:
sudo sh -c "echo '%администраторы\ домена ALL=(ALL) ALL' >> /etc/sudoers"
Ограничение доступа к ПК для доменных пользователей
Для данной настройки необходимо внести изменения в конфигурационный файл sssd.conf:
access_provider = simple simple_allow_users = user1@example.com, user2@example.com simple_allow_groups = group@example.com
Параметр access_provider = simple определяет список доступа на основе имен пользователей или групп.
Вывод клиентских машин из домена консольными командами
Для получения списка сконфигурированных доменов выполните команду:
realm list
Если в выводе присутствует одна запись, то выполните команду:
sudo realm leave -v -U <имя_пользователя>@<домен>
Если в выводе присутствует две записи (две записи присутствуют при использовании двух --client-software — winbind и sssd), тогда выполните две команды:
sudo realm leave -v --client-software=sssd -U <имя_пользователя>@<домен> sudo realm leave -v --client-software=winbind -U <имя_пользователя>@<домен>
Введите пароль пользователя <имя_пользователя>@<домен>, который является администратором домена. Для вывода из домена требуются права администратора. Поэтому при запросе пароля привилегированного пользователя нужно ввести пароль локального пользователя с правами администратора.
В конце вывода команды должно выдаваться сообщение об успешном выводе из домена:
Successfully unenrolled machine from realm
Проверить, успешно ли ПК был выведен из домена, можно командой realm list — в выводе не должно быть никаких записей.
Если в окне входа в пользовательскую учетную запись после вывода из домена отображаются пользователи домена, выполните с правами суперпользователя команду очистки кеша sssd:
sudo sss_cache -E
Дата последнего изменения: 23.04.2026
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.