Revert "s4:provision_users.ldif - Import all essential groups for Windows Server...
[samba.git] / source4 / setup / provision_users.ldif
1 # Add default primary groups (domain users, domain guests, domain computers &
2 # domain controllers) - needed for the users to find valid primary groups
3 # (samldb module)
4
5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
6 objectClass: top
7 objectClass: group
8 description: All domain users
9 objectSid: ${DOMAINSID}-513
10 sAMAccountName: Domain Users
11 isCriticalSystemObject: TRUE
12
13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
14 objectClass: top
15 objectClass: group
16 description: All domain guests
17 objectSid: ${DOMAINSID}-514
18 sAMAccountName: Domain Guests
19 isCriticalSystemObject: TRUE
20
21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
22 objectClass: top
23 objectClass: group
24 description: All workstations and servers joined to the domain
25 objectSid: ${DOMAINSID}-515
26 sAMAccountName: Domain Computers
27 isCriticalSystemObject: TRUE
28
29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
30 objectClass: top
31 objectClass: group
32 description: All domain controllers in the domain
33 objectSid: ${DOMAINSID}-516
34 adminCount: 1
35 sAMAccountName: Domain Controllers
36 isCriticalSystemObject: TRUE
37
38 # Add users
39
40 dn: CN=Administrator,CN=Users,${DOMAINDN}
41 objectClass: user
42 description: Built-in account for administering the computer/domain
43 userAccountControl: 66048
44 objectSid: ${DOMAINSID}-500
45 adminCount: 1
46 accountExpires: 9223372036854775807
47 sAMAccountName: Administrator
48 userPassword:: ${ADMINPASS_B64}
49 isCriticalSystemObject: TRUE
50
51 dn: CN=Guest,CN=Users,${DOMAINDN}
52 objectClass: user
53 description: Built-in account for guest access to the computer/domain
54 userAccountControl: 66082
55 primaryGroupID: 514
56 objectSid: ${DOMAINSID}-501
57 sAMAccountName: Guest
58 isCriticalSystemObject: TRUE
59
60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
61 objectClass: top
62 objectClass: person
63 objectClass: organizationalPerson
64 objectClass: user
65 description: Key Distribution Center Service Account
66 showInAdvancedViewOnly: TRUE
67 userAccountControl: 514
68 objectSid: ${DOMAINSID}-502
69 adminCount: 1
70 accountExpires: 9223372036854775807
71 sAMAccountName: krbtgt
72 servicePrincipalName: kadmin/changepw
73 userPassword:: ${KRBTGTPASS_B64}
74 isCriticalSystemObject: TRUE
75
76 # Add other groups
77
78 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
79 objectClass: top
80 objectClass: group
81 description: Designated administrators of the enterprise
82 member: CN=Administrator,CN=Users,${DOMAINDN}
83 objectSid: ${DOMAINSID}-519
84 adminCount: 1
85 sAMAccountName: Enterprise Admins
86 isCriticalSystemObject: TRUE
87
88 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
89 objectClass: top
90 objectClass: group
91 description: Designated administrators of the schema
92 member: CN=Administrator,CN=Users,${DOMAINDN}
93 objectSid: ${DOMAINSID}-518
94 adminCount: 1
95 sAMAccountName: Schema Admins
96 isCriticalSystemObject: TRUE
97
98 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
99 objectClass: top
100 objectClass: group
101 description: Members of this group are permitted to publish certificates to the Active Directory
102 groupType: -2147483644
103 objectSid: ${DOMAINSID}-517
104 sAMAccountName: Cert Publishers
105 isCriticalSystemObject: TRUE
106
107 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
108 objectClass: top
109 objectClass: group
110 description: Designated administrators of the domain
111 member: CN=Administrator,CN=Users,${DOMAINDN}
112 objectSid: ${DOMAINSID}-512
113 adminCount: 1
114 sAMAccountName: Domain Admins
115 isCriticalSystemObject: TRUE
116
117 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
118 objectClass: top
119 objectClass: group
120 description: Members in this group can modify group policy for the domain
121 member: CN=Administrator,CN=Users,${DOMAINDN}
122 objectSid: ${DOMAINSID}-520
123 sAMAccountName: Group Policy Creator Owners
124 isCriticalSystemObject: TRUE
125
126 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
127 objectClass: top
128 objectClass: group
129 description: Servers in this group can access remote access properties of users
130 objectSid: ${DOMAINSID}-553
131 sAMAccountName: RAS and IAS Servers
132 groupType: -2147483644
133 isCriticalSystemObject: TRUE
134
135 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
136 objectClass: top
137 objectClass: group
138 description: Read-only domain controllers
139 objectSid: ${DOMAINSID}-521
140 sAMAccountName: Read-Only Domain Controllers
141 groupType: -2147483644
142 isCriticalSystemObject: TRUE
143
144 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
145 objectClass: top
146 objectClass: group
147 description: Enterprise read-only domain controllers
148 objectSid: ${DOMAINSID}-498
149 sAMAccountName: Enterprise Read-Only Domain Controllers
150 groupType: -2147483644
151 isCriticalSystemObject: TRUE
152
153 dn: CN=Certificate Service DCOM Access,CN=Users,${DOMAINDN}
154 objectClass: top
155 objectClass: group
156 description: Certificate Service DCOM Access
157 objectSid: ${DOMAINSID}-574
158 sAMAccountName: Certificate Service DCOM Access
159 groupType: -2147483644
160 isCriticalSystemObject: TRUE
161
162 dn: CN=Cryptographic Operators,CN=Users,${DOMAINDN}
163 objectClass: top
164 objectClass: group
165 description: Cryptographic Operators
166 objectSid: ${DOMAINSID}-569
167 sAMAccountName: Cryptographic Operators
168 groupType: -2147483644
169 isCriticalSystemObject: TRUE
170
171 dn: CN=Event Log Readers,CN=Users,${DOMAINDN}
172 objectClass: top
173 objectClass: group
174 description: Event Log Readers
175 objectSid: ${DOMAINSID}-573
176 sAMAccountName: Event Log Readers
177 groupType: -2147483644
178 isCriticalSystemObject: TRUE
179
180 # Add foreign security principals
181
182 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
183 objectClass: top
184 objectClass: foreignSecurityPrincipal
185 objectSid: S-1-5-4
186
187 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
188 objectClass: top
189 objectClass: foreignSecurityPrincipal
190 objectSid: S-1-5-9
191
192 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
193 objectClass: top
194 objectClass: foreignSecurityPrincipal
195 objectSid: S-1-5-11
196
197 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
198 objectClass: top
199 objectClass: foreignSecurityPrincipal
200 objectSid: S-1-5-20
201
202 # Add builtin objects
203
204 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
205 objectClass: top
206 objectClass: group
207 description: Administrators have complete and unrestricted access to the computer/domain
208 member: CN=Domain Admins,CN=Users,${DOMAINDN}
209 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
210 member: CN=Administrator,CN=Users,${DOMAINDN}
211 objectSid: S-1-5-32-544
212 adminCount: 1
213 sAMAccountName: Administrators
214 systemFlags: -1946157056
215 groupType: -2147483643
216 isCriticalSystemObject: TRUE
217
218 dn: CN=Users,CN=Builtin,${DOMAINDN}
219 objectClass: top
220 objectClass: group
221 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
222 member: CN=Domain Users,CN=Users,${DOMAINDN}
223 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
224 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
225 objectSid: S-1-5-32-545
226 sAMAccountName: Users
227 systemFlags: -1946157056
228 groupType: -2147483643
229 isCriticalSystemObject: TRUE
230
231 dn: CN=Guests,CN=Builtin,${DOMAINDN}
232 objectClass: top
233 objectClass: group
234 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
235 member: CN=Domain Guests,CN=Users,${DOMAINDN}
236 member: CN=Guest,CN=Users,${DOMAINDN}
237 objectSid: S-1-5-32-546
238 sAMAccountName: Guests
239 systemFlags: -1946157056
240 groupType: -2147483643
241 isCriticalSystemObject: TRUE
242
243 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
244 objectClass: top
245 objectClass: group
246 description: Members can administer domain printers
247 objectSid: S-1-5-32-550
248 adminCount: 1
249 sAMAccountName: Print Operators
250 systemFlags: -1946157056
251 groupType: -2147483643
252 isCriticalSystemObject: TRUE
253
254 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
255 objectClass: top
256 objectClass: group
257 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
258 objectSid: S-1-5-32-551
259 adminCount: 1
260 sAMAccountName: Backup Operators
261 systemFlags: -1946157056
262 groupType: -2147483643
263 isCriticalSystemObject: TRUE
264
265 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
266 objectClass: top
267 objectClass: group
268 description: Supports file replication in a domain
269 objectSid: S-1-5-32-552
270 adminCount: 1
271 sAMAccountName: Replicator
272 systemFlags: -1946157056
273 groupType: -2147483643
274 isCriticalSystemObject: TRUE
275
276 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
277 objectClass: top
278 objectClass: group
279 description: Members in this group are granted the right to logon remotely
280 objectSid: S-1-5-32-555
281 sAMAccountName: Remote Desktop Users
282 systemFlags: -1946157056
283 groupType: -2147483643
284 isCriticalSystemObject: TRUE
285
286 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
287 objectClass: top
288 objectClass: group
289 description: Members in this group can have some administrative privileges to manage configuration of networking features
290 objectSid: S-1-5-32-556
291 sAMAccountName: Network Configuration Operators
292 systemFlags: -1946157056
293 groupType: -2147483643
294 isCriticalSystemObject: TRUE
295
296 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
297 objectClass: top
298 objectClass: group
299 description: Members of this group have remote access to monitor this computer
300 objectSid: S-1-5-32-558
301 sAMAccountName: Performance Monitor Users
302 systemFlags: -1946157056
303 groupType: -2147483643
304 isCriticalSystemObject: TRUE
305
306 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
307 objectClass: top
308 objectClass: group
309 description: Members of this group have remote access to schedule logging of performance counters on this computer
310 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
311 objectSid: S-1-5-32-559
312 sAMAccountName: Performance Log Users
313 systemFlags: -1946157056
314 groupType: -2147483643
315 isCriticalSystemObject: TRUE
316
317 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
318 objectClass: top
319 objectClass: group
320 description: Members can administer domain servers
321 objectSid: S-1-5-32-549
322 adminCount: 1
323 sAMAccountName: Server Operators
324 systemFlags: -1946157056
325 groupType: -2147483643
326 isCriticalSystemObject: TRUE
327
328 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
329 objectClass: top
330 objectClass: group
331 description: Members can administer domain user and group accounts
332 objectSid: S-1-5-32-548
333 adminCount: 1
334 sAMAccountName: Account Operators
335 systemFlags: -1946157056
336 groupType: -2147483643
337 isCriticalSystemObject: TRUE
338
339 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
340 objectClass: top
341 objectClass: group
342 description: A backward compatibility group which allows read access on all users and groups in the domain
343 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
344 objectSid: S-1-5-32-554
345 sAMAccountName: Pre-Windows 2000 Compatible Access
346 systemFlags: -1946157056
347 groupType: -2147483643
348 isCriticalSystemObject: TRUE
349
350 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
351 objectClass: top
352 objectClass: group
353 description: Members of this group can create incoming, one-way trusts to this forest
354 objectSid: S-1-5-32-557
355 sAMAccountName: Incoming Forest Trust Builders
356 systemFlags: -1946157056
357 groupType: -2147483643
358 isCriticalSystemObject: TRUE
359
360 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
361 objectClass: top
362 objectClass: group
363 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
364 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
365 objectSid: S-1-5-32-560
366 sAMAccountName: Windows Authorization Access Group
367 systemFlags: -1946157056
368 groupType: -2147483643
369 isCriticalSystemObject: TRUE
370
371 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
372 objectClass: top
373 objectClass: group
374 description: Terminal Server License Servers
375 objectSid: S-1-5-32-561
376 sAMAccountName: Terminal Server License Servers
377 systemFlags: -1946157056
378 groupType: -2147483643
379 isCriticalSystemObject: TRUE
380
381 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
382 objectClass: top
383 objectClass: group
384 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
385 objectSid: S-1-5-32-562
386 sAMAccountName: Distributed COM Users
387 systemFlags: -1946157056
388 groupType: -2147483643
389 isCriticalSystemObject: TRUE
390
391 # Add well known security principals
392
393 dn: CN=WellKnown Security Principals,${CONFIGDN}
394 objectClass: top
395 objectClass: container
396 systemFlags: -2147483648
397
398 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
399 objectClass: top
400 objectClass: foreignSecurityPrincipal
401 objectSid: S-1-5-7
402
403 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
404 objectClass: top
405 objectClass: foreignSecurityPrincipal
406 objectSid: S-1-5-11
407
408 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
409 objectClass: top
410 objectClass: foreignSecurityPrincipal
411 objectSid: S-1-5-3
412
413 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
414 objectClass: top
415 objectClass: foreignSecurityPrincipal
416 objectSid: S-1-3-1
417
418 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
419 objectClass: top
420 objectClass: foreignSecurityPrincipal
421 objectSid: S-1-3-0
422
423 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
424 objectClass: top
425 objectClass: foreignSecurityPrincipal
426 objectSid: S-1-5-1
427
428 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
429 objectClass: top
430 objectClass: foreignSecurityPrincipal
431 objectSid: S-1-5-64-21
432
433 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
434 objectClass: top
435 objectClass: foreignSecurityPrincipal
436 objectSid: S-1-5-9
437
438 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
439 objectClass: top
440 objectClass: foreignSecurityPrincipal
441 objectSid: S-1-1-0
442
443 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
444 objectClass: top
445 objectClass: foreignSecurityPrincipal
446 objectSid: S-1-5-4
447
448 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
449 objectClass: top
450 objectClass: foreignSecurityPrincipal
451 objectSid: S-1-5-19
452
453 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
454 objectClass: top
455 objectClass: foreignSecurityPrincipal
456 objectSid: S-1-5-2
457
458 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
459 objectClass: top
460 objectClass: foreignSecurityPrincipal
461 objectSid: S-1-5-20
462
463 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
464 objectClass: top
465 objectClass: foreignSecurityPrincipal
466 objectSid: S-1-5-64-10
467
468 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
469 objectClass: top
470 objectClass: foreignSecurityPrincipal
471 objectSid: S-1-5-1000
472
473 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
474 objectClass: top
475 objectClass: foreignSecurityPrincipal
476 objectSid: S-1-5-8
477
478 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
479 objectClass: top
480 objectClass: foreignSecurityPrincipal
481 objectSid: S-1-5-14
482
483 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
484 objectClass: top
485 objectClass: foreignSecurityPrincipal
486 objectSid: S-1-5-12
487
488 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
489 objectClass: top
490 objectClass: foreignSecurityPrincipal
491 objectSid: S-1-5-64-14
492
493 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
494 objectClass: top
495 objectClass: foreignSecurityPrincipal
496 objectSid: S-1-5-10
497
498 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
499 objectClass: top
500 objectClass: foreignSecurityPrincipal
501 objectSid: S-1-5-6
502
503 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
504 objectClass: top
505 objectClass: foreignSecurityPrincipal
506 objectSid: S-1-5-13
507
508 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
509 objectClass: top
510 objectClass: foreignSecurityPrincipal
511 objectSid: S-1-5-15
512
513 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
514 objectClass: top
515 objectClass: foreignSecurityPrincipal
516 objectSid: S-1-5-18