58b7d159d84affeff1b05097025073aace107763
[samba.git] / source4 / setup / provision_users.ldif
1 # Add default primary groups (domain users, domain guests, domain computers &
2 # domain controllers) - needed for the users to find valid primary groups
3 # (samldb module)
4
5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
6 objectClass: top
7 objectClass: group
8 description: All domain users
9 objectSid: ${DOMAINSID}-513
10 sAMAccountName: Domain Users
11 isCriticalSystemObject: TRUE
12
13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
14 objectClass: top
15 objectClass: group
16 description: All domain guests
17 objectSid: ${DOMAINSID}-514
18 sAMAccountName: Domain Guests
19 isCriticalSystemObject: TRUE
20
21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
22 objectClass: top
23 objectClass: group
24 description: All workstations and servers joined to the domain
25 objectSid: ${DOMAINSID}-515
26 sAMAccountName: Domain Computers
27 isCriticalSystemObject: TRUE
28
29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
30 objectClass: top
31 objectClass: group
32 description: All domain controllers in the domain
33 objectSid: ${DOMAINSID}-516
34 adminCount: 1
35 sAMAccountName: Domain Controllers
36 isCriticalSystemObject: TRUE
37
38 # Add users
39
40 dn: CN=Administrator,CN=Users,${DOMAINDN}
41 objectClass: user
42 description: Built-in account for administering the computer/domain
43 userAccountControl: 66048
44 objectSid: ${DOMAINSID}-500
45 adminCount: 1
46 accountExpires: 9223372036854775807
47 sAMAccountName: Administrator
48 userPassword:: ${ADMINPASS_B64}
49 isCriticalSystemObject: TRUE
50
51 dn: CN=Guest,CN=Users,${DOMAINDN}
52 objectClass: user
53 description: Built-in account for guest access to the computer/domain
54 userAccountControl: 66082
55 primaryGroupID: 514
56 objectSid: ${DOMAINSID}-501
57 sAMAccountName: Guest
58 isCriticalSystemObject: TRUE
59
60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
61 objectClass: top
62 objectClass: person
63 objectClass: organizationalPerson
64 objectClass: user
65 description: Key Distribution Center Service Account
66 showInAdvancedViewOnly: TRUE
67 userAccountControl: 514
68 objectSid: ${DOMAINSID}-502
69 adminCount: 1
70 accountExpires: 9223372036854775807
71 sAMAccountName: krbtgt
72 servicePrincipalName: kadmin/changepw
73 userPassword:: ${KRBTGTPASS_B64}
74 isCriticalSystemObject: TRUE
75
76 # Add other groups
77
78 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
79 objectClass: top
80 objectClass: group
81 description: Members of this group are Read-Only Domain Controllers in the enterprise
82 objectSid: ${DOMAINSID}-498
83 sAMAccountName: Enterprise Read-Only Domain Controllers
84 groupType: -2147483640
85 isCriticalSystemObject: TRUE
86
87 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
88 objectClass: top
89 objectClass: group
90 description: Designated administrators of the domain
91 member: CN=Administrator,CN=Users,${DOMAINDN}
92 objectSid: ${DOMAINSID}-512
93 adminCount: 1
94 sAMAccountName: Domain Admins
95 isCriticalSystemObject: TRUE
96
97 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
98 objectClass: top
99 objectClass: group
100 description: Members of this group are permitted to publish certificates to the Active Directory
101 objectSid: ${DOMAINSID}-517
102 sAMAccountName: Cert Publishers
103 groupType: -2147483644
104 isCriticalSystemObject: TRUE
105
106 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
107 objectClass: top
108 objectClass: group
109 description: Designated administrators of the schema
110 member: CN=Administrator,CN=Users,${DOMAINDN}
111 objectSid: ${DOMAINSID}-518
112 adminCount: 1
113 sAMAccountName: Schema Admins
114 groupType: -2147483640
115 isCriticalSystemObject: TRUE
116
117 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
118 objectClass: top
119 objectClass: group
120 description: Designated administrators of the enterprise
121 member: CN=Administrator,CN=Users,${DOMAINDN}
122 objectSid: ${DOMAINSID}-519
123 adminCount: 1
124 sAMAccountName: Enterprise Admins
125 groupType: -2147483640
126 isCriticalSystemObject: TRUE
127
128 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
129 objectClass: top
130 objectClass: group
131 description: Members in this group can modify group policy for the domain
132 member: CN=Administrator,CN=Users,${DOMAINDN}
133 objectSid: ${DOMAINSID}-520
134 sAMAccountName: Group Policy Creator Owners
135 isCriticalSystemObject: TRUE
136
137 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
138 objectClass: top
139 objectClass: group
140 description: Members of this group are Read-Only Domain Controllers in the domain
141 objectSid: ${DOMAINSID}-521
142 adminCount: 1
143 sAMAccountName: Read-Only Domain Controllers
144 isCriticalSystemObject: TRUE
145
146 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
147 objectClass: top
148 objectClass: group
149 description: Servers in this group can access remote access properties of users
150 objectSid: ${DOMAINSID}-553
151 sAMAccountName: RAS and IAS Servers
152 groupType: -2147483644
153 isCriticalSystemObject: TRUE
154
155 dn: CN=Allowed RODC Password Replication Group,CN=Users,${DOMAINDN}
156 objectClass: top
157 objectClass: group
158 description: Members in this group can have their passwords replicated to all read-only domain controllers in the domain.
159 objectSid: ${DOMAINSID}-571
160 sAMAccountName: Allowed RODC Password Replication Group
161 groupType: -2147483644
162 isCriticalSystemObject: TRUE
163
164 dn: CN=Denied RODC Password Replication Group,CN=Users,${DOMAINDN}
165 objectClass: top
166 objectClass: group
167 description: Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.
168 objectSid: ${DOMAINSID}-572
169 sAMAccountName: Denied RODC Password Replication Group
170 groupType: -2147483644
171 isCriticalSystemObject: TRUE
172
173 # Add foreign security principals
174
175 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
176 objectClass: top
177 objectClass: foreignSecurityPrincipal
178 objectSid: S-1-5-4
179
180 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
181 objectClass: top
182 objectClass: foreignSecurityPrincipal
183 objectSid: S-1-5-9
184
185 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
186 objectClass: top
187 objectClass: foreignSecurityPrincipal
188 objectSid: S-1-5-11
189
190 dn: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
191 objectClass: top
192 objectClass: foreignSecurityPrincipal
193 objectSid: S-1-5-17
194
195 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
196 objectClass: top
197 objectClass: foreignSecurityPrincipal
198 objectSid: S-1-5-20
199
200 # Add builtin objects
201
202 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
203 objectClass: top
204 objectClass: group
205 description: Administrators have complete and unrestricted access to the computer/domain
206 member: CN=Domain Admins,CN=Users,${DOMAINDN}
207 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
208 member: CN=Administrator,CN=Users,${DOMAINDN}
209 objectSid: S-1-5-32-544
210 adminCount: 1
211 sAMAccountName: Administrators
212 systemFlags: -1946157056
213 groupType: -2147483643
214 isCriticalSystemObject: TRUE
215
216 dn: CN=Users,CN=Builtin,${DOMAINDN}
217 objectClass: top
218 objectClass: group
219 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
220 member: CN=Domain Users,CN=Users,${DOMAINDN}
221 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
222 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
223 objectSid: S-1-5-32-545
224 sAMAccountName: Users
225 systemFlags: -1946157056
226 groupType: -2147483643
227 isCriticalSystemObject: TRUE
228
229 dn: CN=Guests,CN=Builtin,${DOMAINDN}
230 objectClass: top
231 objectClass: group
232 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
233 member: CN=Domain Guests,CN=Users,${DOMAINDN}
234 member: CN=Guest,CN=Users,${DOMAINDN}
235 objectSid: S-1-5-32-546
236 sAMAccountName: Guests
237 systemFlags: -1946157056
238 groupType: -2147483643
239 isCriticalSystemObject: TRUE
240
241 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
242 objectClass: top
243 objectClass: group
244 description: Members can administer domain user and group accounts
245 objectSid: S-1-5-32-548
246 adminCount: 1
247 sAMAccountName: Account Operators
248 systemFlags: -1946157056
249 groupType: -2147483643
250 isCriticalSystemObject: TRUE
251
252 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
253 objectClass: top
254 objectClass: group
255 description: Members can administer domain servers
256 objectSid: S-1-5-32-549
257 adminCount: 1
258 sAMAccountName: Server Operators
259 systemFlags: -1946157056
260 groupType: -2147483643
261 isCriticalSystemObject: TRUE
262
263 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
264 objectClass: top
265 objectClass: group
266 description: Members can administer domain printers
267 objectSid: S-1-5-32-550
268 adminCount: 1
269 sAMAccountName: Print Operators
270 systemFlags: -1946157056
271 groupType: -2147483643
272 isCriticalSystemObject: TRUE
273
274 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
275 objectClass: top
276 objectClass: group
277 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
278 objectSid: S-1-5-32-551
279 adminCount: 1
280 sAMAccountName: Backup Operators
281 systemFlags: -1946157056
282 groupType: -2147483643
283 isCriticalSystemObject: TRUE
284
285 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
286 objectClass: top
287 objectClass: group
288 description: Supports file replication in a domain
289 objectSid: S-1-5-32-552
290 adminCount: 1
291 sAMAccountName: Replicator
292 systemFlags: -1946157056
293 groupType: -2147483643
294 isCriticalSystemObject: TRUE
295
296 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
297 objectClass: top
298 objectClass: group
299 description: A backward compatibility group which allows read access on all users and groups in the domain
300 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
301 objectSid: S-1-5-32-554
302 sAMAccountName: Pre-Windows 2000 Compatible Access
303 systemFlags: -1946157056
304 groupType: -2147483643
305 isCriticalSystemObject: TRUE
306
307 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
308 objectClass: top
309 objectClass: group
310 description: Members in this group are granted the right to logon remotely
311 objectSid: S-1-5-32-555
312 sAMAccountName: Remote Desktop Users
313 systemFlags: -1946157056
314 groupType: -2147483643
315 isCriticalSystemObject: TRUE
316
317 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
318 objectClass: top
319 objectClass: group
320 description: Members in this group can have some administrative privileges to manage configuration of networking features
321 objectSid: S-1-5-32-556
322 sAMAccountName: Network Configuration Operators
323 systemFlags: -1946157056
324 groupType: -2147483643
325 isCriticalSystemObject: TRUE
326
327 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
328 objectClass: top
329 objectClass: group
330 description: Members of this group can create incoming, one-way trusts to this forest
331 objectSid: S-1-5-32-557
332 sAMAccountName: Incoming Forest Trust Builders
333 systemFlags: -1946157056
334 groupType: -2147483643
335 isCriticalSystemObject: TRUE
336
337 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
338 objectClass: top
339 objectClass: group
340 description: Members of this group have remote access to monitor this computer
341 objectSid: S-1-5-32-558
342 sAMAccountName: Performance Monitor Users
343 systemFlags: -1946157056
344 groupType: -2147483643
345 isCriticalSystemObject: TRUE
346
347 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
348 objectClass: top
349 objectClass: group
350 description: Members of this group have remote access to schedule logging of performance counters on this computer
351 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
352 objectSid: S-1-5-32-559
353 sAMAccountName: Performance Log Users
354 systemFlags: -1946157056
355 groupType: -2147483643
356 isCriticalSystemObject: TRUE
357
358 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
359 objectClass: top
360 objectClass: group
361 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
362 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
363 objectSid: S-1-5-32-560
364 sAMAccountName: Windows Authorization Access Group
365 systemFlags: -1946157056
366 groupType: -2147483643
367 isCriticalSystemObject: TRUE
368
369 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
370 objectClass: top
371 objectClass: group
372 description: Terminal Server License Servers
373 objectSid: S-1-5-32-561
374 sAMAccountName: Terminal Server License Servers
375 systemFlags: -1946157056
376 groupType: -2147483643
377 isCriticalSystemObject: TRUE
378
379 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
380 objectClass: top
381 objectClass: group
382 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
383 objectSid: S-1-5-32-562
384 sAMAccountName: Distributed COM Users
385 systemFlags: -1946157056
386 groupType: -2147483643
387 isCriticalSystemObject: TRUE
388
389 dn: CN=Cryptographic Operators,CN=Builtin,${DOMAINDN}
390 objectClass: top
391 objectClass: group
392 description: Members are authorized to perform cryptographic operations.
393 objectSid: S-1-5-32-569
394 sAMAccountName: Cryptographic Operators
395 systemFlags: -1946157056
396 groupType: -2147483643
397 isCriticalSystemObject: TRUE
398
399 dn: CN=Event Log Readers,CN=Builtin,${DOMAINDN}
400 objectClass: top
401 objectClass: group
402 description: Members of this group can read event logs from local machine.
403 objectSid: S-1-5-32-573
404 sAMAccountName: Event Log Readers
405 systemFlags: -1946157056
406 groupType: -2147483643
407 isCriticalSystemObject: TRUE
408
409 dn: CN=Certificate Service DCOM Access,CN=Builtin,${DOMAINDN}
410 objectClass: top
411 objectClass: group
412 description: Members of this group are allowed to connect to Certification Authorities in the enterprise.
413 objectSid: S-1-5-32-574
414 sAMAccountName: Certificate Service DCOM Access
415 systemFlags: -1946157056
416 groupType: -2147483643
417 isCriticalSystemObject: TRUE
418
419 # Add well known security principals
420
421 dn: CN=WellKnown Security Principals,${CONFIGDN}
422 objectClass: top
423 objectClass: container
424 systemFlags: -2147483648
425
426 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
427 objectClass: top
428 objectClass: foreignSecurityPrincipal
429 objectSid: S-1-5-7
430
431 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
432 objectClass: top
433 objectClass: foreignSecurityPrincipal
434 objectSid: S-1-5-11
435
436 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
437 objectClass: top
438 objectClass: foreignSecurityPrincipal
439 objectSid: S-1-5-3
440
441 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
442 objectClass: top
443 objectClass: foreignSecurityPrincipal
444 objectSid: S-1-3-1
445
446 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
447 objectClass: top
448 objectClass: foreignSecurityPrincipal
449 objectSid: S-1-3-0
450
451 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
452 objectClass: top
453 objectClass: foreignSecurityPrincipal
454 objectSid: S-1-5-1
455
456 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
457 objectClass: top
458 objectClass: foreignSecurityPrincipal
459 objectSid: S-1-5-64-21
460
461 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
462 objectClass: top
463 objectClass: foreignSecurityPrincipal
464 objectSid: S-1-5-9
465
466 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
467 objectClass: top
468 objectClass: foreignSecurityPrincipal
469 objectSid: S-1-1-0
470
471 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
472 objectClass: top
473 objectClass: foreignSecurityPrincipal
474 objectSid: S-1-5-4
475
476 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
477 objectClass: top
478 objectClass: foreignSecurityPrincipal
479 objectSid: S-1-5-19
480
481 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
482 objectClass: top
483 objectClass: foreignSecurityPrincipal
484 objectSid: S-1-5-2
485
486 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
487 objectClass: top
488 objectClass: foreignSecurityPrincipal
489 objectSid: S-1-5-20
490
491 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
492 objectClass: top
493 objectClass: foreignSecurityPrincipal
494 objectSid: S-1-5-64-10
495
496 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
497 objectClass: top
498 objectClass: foreignSecurityPrincipal
499 objectSid: S-1-5-1000
500
501 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
502 objectClass: top
503 objectClass: foreignSecurityPrincipal
504 objectSid: S-1-5-8
505
506 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
507 objectClass: top
508 objectClass: foreignSecurityPrincipal
509 objectSid: S-1-5-14
510
511 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
512 objectClass: top
513 objectClass: foreignSecurityPrincipal
514 objectSid: S-1-5-12
515
516 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
517 objectClass: top
518 objectClass: foreignSecurityPrincipal
519 objectSid: S-1-5-64-14
520
521 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
522 objectClass: top
523 objectClass: foreignSecurityPrincipal
524 objectSid: S-1-5-10
525
526 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
527 objectClass: top
528 objectClass: foreignSecurityPrincipal
529 objectSid: S-1-5-6
530
531 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
532 objectClass: top
533 objectClass: foreignSecurityPrincipal
534 objectSid: S-1-5-13
535
536 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
537 objectClass: top
538 objectClass: foreignSecurityPrincipal
539 objectSid: S-1-5-15
540
541 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
542 objectClass: top
543 objectClass: foreignSecurityPrincipal
544 objectSid: S-1-5-18