s4:provision_users.ldif - Remove system objects from the wrong place
[ira/wip.git] / source4 / setup / provision_users.ldif
1 # Add default primary groups (domain users, domain guests, domain computers &
2 # domain controllers) - needed for the users to find valid primary groups
3 # (samldb module)
4
5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
6 objectClass: top
7 objectClass: group
8 description: All domain users
9 objectSid: ${DOMAINSID}-513
10 sAMAccountName: Domain Users
11 isCriticalSystemObject: TRUE
12
13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
14 objectClass: top
15 objectClass: group
16 description: All domain guests
17 objectSid: ${DOMAINSID}-514
18 sAMAccountName: Domain Guests
19 isCriticalSystemObject: TRUE
20
21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
22 objectClass: top
23 objectClass: group
24 description: All workstations and servers joined to the domain
25 objectSid: ${DOMAINSID}-515
26 sAMAccountName: Domain Computers
27 isCriticalSystemObject: TRUE
28
29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
30 objectClass: top
31 objectClass: group
32 description: All domain controllers in the domain
33 objectSid: ${DOMAINSID}-516
34 adminCount: 1
35 sAMAccountName: Domain Controllers
36 isCriticalSystemObject: TRUE
37
38 # Add users
39
40 dn: CN=Administrator,CN=Users,${DOMAINDN}
41 objectClass: user
42 description: Built-in account for administering the computer/domain
43 userAccountControl: 66048
44 objectSid: ${DOMAINSID}-500
45 adminCount: 1
46 accountExpires: 9223372036854775807
47 sAMAccountName: Administrator
48 userPassword:: ${ADMINPASS_B64}
49 isCriticalSystemObject: TRUE
50
51 dn: CN=Guest,CN=Users,${DOMAINDN}
52 objectClass: user
53 description: Built-in account for guest access to the computer/domain
54 userAccountControl: 66082
55 primaryGroupID: 514
56 objectSid: ${DOMAINSID}-501
57 sAMAccountName: Guest
58 isCriticalSystemObject: TRUE
59
60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
61 objectClass: top
62 objectClass: person
63 objectClass: organizationalPerson
64 objectClass: user
65 description: Key Distribution Center Service Account
66 showInAdvancedViewOnly: TRUE
67 userAccountControl: 514
68 objectSid: ${DOMAINSID}-502
69 adminCount: 1
70 accountExpires: 9223372036854775807
71 sAMAccountName: krbtgt
72 servicePrincipalName: kadmin/changepw
73 userPassword:: ${KRBTGTPASS_B64}
74 isCriticalSystemObject: TRUE
75
76 # Add other groups
77
78 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
79 objectClass: top
80 objectClass: group
81 description: Designated administrators of the enterprise
82 member: CN=Administrator,CN=Users,${DOMAINDN}
83 objectSid: ${DOMAINSID}-519
84 adminCount: 1
85 sAMAccountName: Enterprise Admins
86 isCriticalSystemObject: TRUE
87
88 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
89 objectClass: top
90 objectClass: group
91 description: Designated administrators of the schema
92 member: CN=Administrator,CN=Users,${DOMAINDN}
93 objectSid: ${DOMAINSID}-518
94 adminCount: 1
95 sAMAccountName: Schema Admins
96 isCriticalSystemObject: TRUE
97
98 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
99 objectClass: top
100 objectClass: group
101 description: Members of this group are permitted to publish certificates to the Active Directory
102 groupType: -2147483644
103 objectSid: ${DOMAINSID}-517
104 sAMAccountName: Cert Publishers
105 isCriticalSystemObject: TRUE
106
107 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
108 objectClass: top
109 objectClass: group
110 description: Designated administrators of the domain
111 member: CN=Administrator,CN=Users,${DOMAINDN}
112 objectSid: ${DOMAINSID}-512
113 adminCount: 1
114 sAMAccountName: Domain Admins
115 isCriticalSystemObject: TRUE
116
117 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
118 objectClass: top
119 objectClass: group
120 description: Members in this group can modify group policy for the domain
121 member: CN=Administrator,CN=Users,${DOMAINDN}
122 objectSid: ${DOMAINSID}-520
123 sAMAccountName: Group Policy Creator Owners
124 isCriticalSystemObject: TRUE
125
126 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
127 objectClass: top
128 objectClass: group
129 description: Servers in this group can access remote access properties of users
130 objectSid: ${DOMAINSID}-553
131 sAMAccountName: RAS and IAS Servers
132 groupType: -2147483644
133 isCriticalSystemObject: TRUE
134
135 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
136 objectClass: top
137 objectClass: group
138 description: Read-only domain controllers
139 objectSid: ${DOMAINSID}-521
140 sAMAccountName: Read-Only Domain Controllers
141 groupType: -2147483644
142 isCriticalSystemObject: TRUE
143
144 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
145 objectClass: top
146 objectClass: group
147 description: Enterprise read-only domain controllers
148 objectSid: ${DOMAINSID}-498
149 sAMAccountName: Enterprise Read-Only Domain Controllers
150 groupType: -2147483644
151 isCriticalSystemObject: TRUE
152
153 # Add foreign security principals
154
155 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
156 objectClass: top
157 objectClass: foreignSecurityPrincipal
158 objectSid: S-1-5-4
159
160 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
161 objectClass: top
162 objectClass: foreignSecurityPrincipal
163 objectSid: S-1-5-9
164
165 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
166 objectClass: top
167 objectClass: foreignSecurityPrincipal
168 objectSid: S-1-5-11
169
170 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
171 objectClass: top
172 objectClass: foreignSecurityPrincipal
173 objectSid: S-1-5-20
174
175 # Add builtin objects
176
177 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
178 objectClass: top
179 objectClass: group
180 description: Administrators have complete and unrestricted access to the computer/domain
181 member: CN=Domain Admins,CN=Users,${DOMAINDN}
182 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
183 member: CN=Administrator,CN=Users,${DOMAINDN}
184 objectSid: S-1-5-32-544
185 adminCount: 1
186 sAMAccountName: Administrators
187 systemFlags: -1946157056
188 groupType: -2147483643
189 isCriticalSystemObject: TRUE
190
191 dn: CN=Users,CN=Builtin,${DOMAINDN}
192 objectClass: top
193 objectClass: group
194 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
195 member: CN=Domain Users,CN=Users,${DOMAINDN}
196 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
197 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
198 objectSid: S-1-5-32-545
199 sAMAccountName: Users
200 systemFlags: -1946157056
201 groupType: -2147483643
202 isCriticalSystemObject: TRUE
203
204 dn: CN=Guests,CN=Builtin,${DOMAINDN}
205 objectClass: top
206 objectClass: group
207 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
208 member: CN=Domain Guests,CN=Users,${DOMAINDN}
209 member: CN=Guest,CN=Users,${DOMAINDN}
210 objectSid: S-1-5-32-546
211 sAMAccountName: Guests
212 systemFlags: -1946157056
213 groupType: -2147483643
214 isCriticalSystemObject: TRUE
215
216 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
217 objectClass: top
218 objectClass: group
219 description: Members can administer domain printers
220 objectSid: S-1-5-32-550
221 adminCount: 1
222 sAMAccountName: Print Operators
223 systemFlags: -1946157056
224 groupType: -2147483643
225 isCriticalSystemObject: TRUE
226
227 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
228 objectClass: top
229 objectClass: group
230 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
231 objectSid: S-1-5-32-551
232 adminCount: 1
233 sAMAccountName: Backup Operators
234 systemFlags: -1946157056
235 groupType: -2147483643
236 isCriticalSystemObject: TRUE
237
238 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
239 objectClass: top
240 objectClass: group
241 description: Supports file replication in a domain
242 objectSid: S-1-5-32-552
243 adminCount: 1
244 sAMAccountName: Replicator
245 systemFlags: -1946157056
246 groupType: -2147483643
247 isCriticalSystemObject: TRUE
248
249 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
250 objectClass: top
251 objectClass: group
252 description: Members in this group are granted the right to logon remotely
253 objectSid: S-1-5-32-555
254 sAMAccountName: Remote Desktop Users
255 systemFlags: -1946157056
256 groupType: -2147483643
257 isCriticalSystemObject: TRUE
258
259 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
260 objectClass: top
261 objectClass: group
262 description: Members in this group can have some administrative privileges to manage configuration of networking features
263 objectSid: S-1-5-32-556
264 sAMAccountName: Network Configuration Operators
265 systemFlags: -1946157056
266 groupType: -2147483643
267 isCriticalSystemObject: TRUE
268
269 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
270 objectClass: top
271 objectClass: group
272 description: Members of this group have remote access to monitor this computer
273 objectSid: S-1-5-32-558
274 sAMAccountName: Performance Monitor Users
275 systemFlags: -1946157056
276 groupType: -2147483643
277 isCriticalSystemObject: TRUE
278
279 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
280 objectClass: top
281 objectClass: group
282 description: Members of this group have remote access to schedule logging of performance counters on this computer
283 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
284 objectSid: S-1-5-32-559
285 sAMAccountName: Performance Log Users
286 systemFlags: -1946157056
287 groupType: -2147483643
288 isCriticalSystemObject: TRUE
289
290 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
291 objectClass: top
292 objectClass: group
293 description: Members can administer domain servers
294 objectSid: S-1-5-32-549
295 adminCount: 1
296 sAMAccountName: Server Operators
297 systemFlags: -1946157056
298 groupType: -2147483643
299 isCriticalSystemObject: TRUE
300
301 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
302 objectClass: top
303 objectClass: group
304 description: Members can administer domain user and group accounts
305 objectSid: S-1-5-32-548
306 adminCount: 1
307 sAMAccountName: Account Operators
308 systemFlags: -1946157056
309 groupType: -2147483643
310 isCriticalSystemObject: TRUE
311
312 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
313 objectClass: top
314 objectClass: group
315 description: A backward compatibility group which allows read access on all users and groups in the domain
316 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
317 objectSid: S-1-5-32-554
318 sAMAccountName: Pre-Windows 2000 Compatible Access
319 systemFlags: -1946157056
320 groupType: -2147483643
321 isCriticalSystemObject: TRUE
322
323 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
324 objectClass: top
325 objectClass: group
326 description: Members of this group can create incoming, one-way trusts to this forest
327 objectSid: S-1-5-32-557
328 sAMAccountName: Incoming Forest Trust Builders
329 systemFlags: -1946157056
330 groupType: -2147483643
331 isCriticalSystemObject: TRUE
332
333 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
334 objectClass: top
335 objectClass: group
336 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
337 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
338 objectSid: S-1-5-32-560
339 sAMAccountName: Windows Authorization Access Group
340 systemFlags: -1946157056
341 groupType: -2147483643
342 isCriticalSystemObject: TRUE
343
344 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
345 objectClass: top
346 objectClass: group
347 description: Terminal Server License Servers
348 objectSid: S-1-5-32-561
349 sAMAccountName: Terminal Server License Servers
350 systemFlags: -1946157056
351 groupType: -2147483643
352 isCriticalSystemObject: TRUE
353
354 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
355 objectClass: top
356 objectClass: group
357 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
358 objectSid: S-1-5-32-562
359 sAMAccountName: Distributed COM Users
360 systemFlags: -1946157056
361 groupType: -2147483643
362 isCriticalSystemObject: TRUE
363
364 # Add well known security principals
365
366 dn: CN=WellKnown Security Principals,${CONFIGDN}
367 objectClass: top
368 objectClass: container
369 systemFlags: -2147483648
370
371 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
372 objectClass: top
373 objectClass: foreignSecurityPrincipal
374 objectSid: S-1-5-7
375
376 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
377 objectClass: top
378 objectClass: foreignSecurityPrincipal
379 objectSid: S-1-5-11
380
381 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
382 objectClass: top
383 objectClass: foreignSecurityPrincipal
384 objectSid: S-1-5-3
385
386 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
387 objectClass: top
388 objectClass: foreignSecurityPrincipal
389 objectSid: S-1-3-1
390
391 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
392 objectClass: top
393 objectClass: foreignSecurityPrincipal
394 objectSid: S-1-3-0
395
396 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
397 objectClass: top
398 objectClass: foreignSecurityPrincipal
399 objectSid: S-1-5-1
400
401 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
402 objectClass: top
403 objectClass: foreignSecurityPrincipal
404 objectSid: S-1-5-64-21
405
406 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
407 objectClass: top
408 objectClass: foreignSecurityPrincipal
409 objectSid: S-1-5-9
410
411 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
412 objectClass: top
413 objectClass: foreignSecurityPrincipal
414 objectSid: S-1-1-0
415
416 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
417 objectClass: top
418 objectClass: foreignSecurityPrincipal
419 objectSid: S-1-5-4
420
421 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
422 objectClass: top
423 objectClass: foreignSecurityPrincipal
424 objectSid: S-1-5-19
425
426 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
427 objectClass: top
428 objectClass: foreignSecurityPrincipal
429 objectSid: S-1-5-2
430
431 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
432 objectClass: top
433 objectClass: foreignSecurityPrincipal
434 objectSid: S-1-5-20
435
436 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
437 objectClass: top
438 objectClass: foreignSecurityPrincipal
439 objectSid: S-1-5-64-10
440
441 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
442 objectClass: top
443 objectClass: foreignSecurityPrincipal
444 objectSid: S-1-5-1000
445
446 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
447 objectClass: top
448 objectClass: foreignSecurityPrincipal
449 objectSid: S-1-5-8
450
451 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
452 objectClass: top
453 objectClass: foreignSecurityPrincipal
454 objectSid: S-1-5-14
455
456 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
457 objectClass: top
458 objectClass: foreignSecurityPrincipal
459 objectSid: S-1-5-12
460
461 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
462 objectClass: top
463 objectClass: foreignSecurityPrincipal
464 objectSid: S-1-5-64-14
465
466 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
467 objectClass: top
468 objectClass: foreignSecurityPrincipal
469 objectSid: S-1-5-10
470
471 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
472 objectClass: top
473 objectClass: foreignSecurityPrincipal
474 objectSid: S-1-5-6
475
476 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
477 objectClass: top
478 objectClass: foreignSecurityPrincipal
479 objectSid: S-1-5-13
480
481 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
482 objectClass: top
483 objectClass: foreignSecurityPrincipal
484 objectSid: S-1-5-15
485
486 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
487 objectClass: top
488 objectClass: foreignSecurityPrincipal
489 objectSid: S-1-5-18