s4:provision_users.ldif - Add objects for IIS
[ira/wip.git] / source4 / setup / provision_users.ldif
1 # Add default primary groups (domain users, domain guests, domain computers &
2 # domain controllers) - needed for the users to find valid primary groups
3 # (samldb module)
4
5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
6 objectClass: top
7 objectClass: group
8 description: All domain users
9 objectSid: ${DOMAINSID}-513
10 sAMAccountName: Domain Users
11 isCriticalSystemObject: TRUE
12
13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
14 objectClass: top
15 objectClass: group
16 description: All domain guests
17 objectSid: ${DOMAINSID}-514
18 sAMAccountName: Domain Guests
19 isCriticalSystemObject: TRUE
20
21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
22 objectClass: top
23 objectClass: group
24 description: All workstations and servers joined to the domain
25 objectSid: ${DOMAINSID}-515
26 sAMAccountName: Domain Computers
27 isCriticalSystemObject: TRUE
28
29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
30 objectClass: top
31 objectClass: group
32 description: All domain controllers in the domain
33 objectSid: ${DOMAINSID}-516
34 adminCount: 1
35 sAMAccountName: Domain Controllers
36 isCriticalSystemObject: TRUE
37
38 # Add users
39
40 dn: CN=Administrator,CN=Users,${DOMAINDN}
41 objectClass: user
42 description: Built-in account for administering the computer/domain
43 userAccountControl: 66048
44 objectSid: ${DOMAINSID}-500
45 adminCount: 1
46 accountExpires: 9223372036854775807
47 sAMAccountName: Administrator
48 userPassword:: ${ADMINPASS_B64}
49 isCriticalSystemObject: TRUE
50
51 dn: CN=Guest,CN=Users,${DOMAINDN}
52 objectClass: user
53 description: Built-in account for guest access to the computer/domain
54 userAccountControl: 66082
55 primaryGroupID: 514
56 objectSid: ${DOMAINSID}-501
57 sAMAccountName: Guest
58 isCriticalSystemObject: TRUE
59
60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
61 objectClass: top
62 objectClass: person
63 objectClass: organizationalPerson
64 objectClass: user
65 description: Key Distribution Center Service Account
66 showInAdvancedViewOnly: TRUE
67 userAccountControl: 514
68 objectSid: ${DOMAINSID}-502
69 adminCount: 1
70 accountExpires: 9223372036854775807
71 sAMAccountName: krbtgt
72 servicePrincipalName: kadmin/changepw
73 userPassword:: ${KRBTGTPASS_B64}
74 isCriticalSystemObject: TRUE
75
76 # Add other groups
77
78 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
79 objectClass: top
80 objectClass: group
81 description: Members of this group are Read-Only Domain Controllers in the enterprise
82 objectSid: ${DOMAINSID}-498
83 sAMAccountName: Enterprise Read-Only Domain Controllers
84 groupType: -2147483640
85 isCriticalSystemObject: TRUE
86
87 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
88 objectClass: top
89 objectClass: group
90 description: Designated administrators of the domain
91 member: CN=Administrator,CN=Users,${DOMAINDN}
92 objectSid: ${DOMAINSID}-512
93 adminCount: 1
94 sAMAccountName: Domain Admins
95 isCriticalSystemObject: TRUE
96
97 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
98 objectClass: top
99 objectClass: group
100 description: Members of this group are permitted to publish certificates to the Active Directory
101 objectSid: ${DOMAINSID}-517
102 sAMAccountName: Cert Publishers
103 groupType: -2147483644
104 isCriticalSystemObject: TRUE
105
106 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
107 objectClass: top
108 objectClass: group
109 description: Designated administrators of the schema
110 member: CN=Administrator,CN=Users,${DOMAINDN}
111 objectSid: ${DOMAINSID}-518
112 adminCount: 1
113 sAMAccountName: Schema Admins
114 groupType: -2147483640
115 isCriticalSystemObject: TRUE
116
117 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
118 objectClass: top
119 objectClass: group
120 description: Designated administrators of the enterprise
121 member: CN=Administrator,CN=Users,${DOMAINDN}
122 objectSid: ${DOMAINSID}-519
123 adminCount: 1
124 sAMAccountName: Enterprise Admins
125 groupType: -2147483640
126 isCriticalSystemObject: TRUE
127
128 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
129 objectClass: top
130 objectClass: group
131 description: Members in this group can modify group policies for the domain
132 member: CN=Administrator,CN=Users,${DOMAINDN}
133 objectSid: ${DOMAINSID}-520
134 sAMAccountName: Group Policy Creator Owners
135 isCriticalSystemObject: TRUE
136
137 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
138 objectClass: top
139 objectClass: group
140 description: Members of this group are Read-Only Domain Controllers in the domain
141 objectSid: ${DOMAINSID}-521
142 adminCount: 1
143 sAMAccountName: Read-Only Domain Controllers
144 isCriticalSystemObject: TRUE
145
146 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
147 objectClass: top
148 objectClass: group
149 description: Servers in this group can access remote access properties of users
150 objectSid: ${DOMAINSID}-553
151 sAMAccountName: RAS and IAS Servers
152 groupType: -2147483644
153 isCriticalSystemObject: TRUE
154
155 dn: CN=Allowed RODC Password Replication Group,CN=Users,${DOMAINDN}
156 objectClass: top
157 objectClass: group
158 description: Members in this group can have their passwords replicated to all read-only domain controllers in the domain.
159 objectSid: ${DOMAINSID}-571
160 sAMAccountName: Allowed RODC Password Replication Group
161 groupType: -2147483644
162 isCriticalSystemObject: TRUE
163
164 dn: CN=Denied RODC Password Replication Group,CN=Users,${DOMAINDN}
165 objectClass: top
166 objectClass: group
167 description: Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.
168 member: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
169 member: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
170 member: CN=Domain Admins,CN=Users,${DOMAINDN}
171 member: CN=Cert Publishers,CN=Users,${DOMAINDN}
172 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
173 member: CN=Schema Admins,CN=Users,${DOMAINDN}
174 member: CN=Domain Controllers,CN=Users,${DOMAINDN}
175 member: CN=krbtgt,CN=Users,${DOMAINDN}
176 objectSid: ${DOMAINSID}-572
177 sAMAccountName: Denied RODC Password Replication Group
178 groupType: -2147483644
179 isCriticalSystemObject: TRUE
180
181 # Add foreign security principals
182
183 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
184 objectClass: top
185 objectClass: foreignSecurityPrincipal
186 objectSid: S-1-5-4
187
188 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
189 objectClass: top
190 objectClass: foreignSecurityPrincipal
191 objectSid: S-1-5-9
192
193 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
194 objectClass: top
195 objectClass: foreignSecurityPrincipal
196 objectSid: S-1-5-11
197
198 dn: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
199 objectClass: top
200 objectClass: foreignSecurityPrincipal
201 objectSid: S-1-5-17
202
203 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
204 objectClass: top
205 objectClass: foreignSecurityPrincipal
206 objectSid: S-1-5-20
207
208 # Add builtin objects
209
210 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
211 objectClass: top
212 objectClass: group
213 description: Administrators have complete and unrestricted access to the computer/domain
214 member: CN=Domain Admins,CN=Users,${DOMAINDN}
215 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
216 member: CN=Administrator,CN=Users,${DOMAINDN}
217 objectSid: S-1-5-32-544
218 adminCount: 1
219 sAMAccountName: Administrators
220 systemFlags: -1946157056
221 groupType: -2147483643
222 isCriticalSystemObject: TRUE
223
224 dn: CN=Users,CN=Builtin,${DOMAINDN}
225 objectClass: top
226 objectClass: group
227 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
228 member: CN=Domain Users,CN=Users,${DOMAINDN}
229 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
230 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
231 objectSid: S-1-5-32-545
232 sAMAccountName: Users
233 systemFlags: -1946157056
234 groupType: -2147483643
235 isCriticalSystemObject: TRUE
236
237 dn: CN=Guests,CN=Builtin,${DOMAINDN}
238 objectClass: top
239 objectClass: group
240 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
241 member: CN=Domain Guests,CN=Users,${DOMAINDN}
242 member: CN=Guest,CN=Users,${DOMAINDN}
243 objectSid: S-1-5-32-546
244 sAMAccountName: Guests
245 systemFlags: -1946157056
246 groupType: -2147483643
247 isCriticalSystemObject: TRUE
248
249 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
250 objectClass: top
251 objectClass: group
252 description: Members can administer domain user and group accounts
253 objectSid: S-1-5-32-548
254 adminCount: 1
255 sAMAccountName: Account Operators
256 systemFlags: -1946157056
257 groupType: -2147483643
258 isCriticalSystemObject: TRUE
259
260 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
261 objectClass: top
262 objectClass: group
263 description: Members can administer domain servers
264 objectSid: S-1-5-32-549
265 adminCount: 1
266 sAMAccountName: Server Operators
267 systemFlags: -1946157056
268 groupType: -2147483643
269 isCriticalSystemObject: TRUE
270
271 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
272 objectClass: top
273 objectClass: group
274 description: Members can administer domain printers
275 objectSid: S-1-5-32-550
276 adminCount: 1
277 sAMAccountName: Print Operators
278 systemFlags: -1946157056
279 groupType: -2147483643
280 isCriticalSystemObject: TRUE
281
282 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
283 objectClass: top
284 objectClass: group
285 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
286 objectSid: S-1-5-32-551
287 adminCount: 1
288 sAMAccountName: Backup Operators
289 systemFlags: -1946157056
290 groupType: -2147483643
291 isCriticalSystemObject: TRUE
292
293 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
294 objectClass: top
295 objectClass: group
296 description: Supports file replication in a domain
297 objectSid: S-1-5-32-552
298 adminCount: 1
299 sAMAccountName: Replicator
300 systemFlags: -1946157056
301 groupType: -2147483643
302 isCriticalSystemObject: TRUE
303
304 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
305 objectClass: top
306 objectClass: group
307 description: A backward compatibility group which allows read access on all users and groups in the domain
308 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
309 objectSid: S-1-5-32-554
310 sAMAccountName: Pre-Windows 2000 Compatible Access
311 systemFlags: -1946157056
312 groupType: -2147483643
313 isCriticalSystemObject: TRUE
314
315 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
316 objectClass: top
317 objectClass: group
318 description: Members in this group are granted the right to logon remotely
319 objectSid: S-1-5-32-555
320 sAMAccountName: Remote Desktop Users
321 systemFlags: -1946157056
322 groupType: -2147483643
323 isCriticalSystemObject: TRUE
324
325 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
326 objectClass: top
327 objectClass: group
328 description: Members in this group can have some administrative privileges to manage configuration of networking features
329 objectSid: S-1-5-32-556
330 sAMAccountName: Network Configuration Operators
331 systemFlags: -1946157056
332 groupType: -2147483643
333 isCriticalSystemObject: TRUE
334
335 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
336 objectClass: top
337 objectClass: group
338 description: Members of this group can create incoming, one-way trusts to this forest
339 objectSid: S-1-5-32-557
340 sAMAccountName: Incoming Forest Trust Builders
341 systemFlags: -1946157056
342 groupType: -2147483643
343 isCriticalSystemObject: TRUE
344
345 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
346 objectClass: top
347 objectClass: group
348 description: Members of this group have remote access to monitor this computer
349 objectSid: S-1-5-32-558
350 sAMAccountName: Performance Monitor Users
351 systemFlags: -1946157056
352 groupType: -2147483643
353 isCriticalSystemObject: TRUE
354
355 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
356 objectClass: top
357 objectClass: group
358 description: Members of this group have remote access to schedule logging of performance counters on this computer
359 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
360 objectSid: S-1-5-32-559
361 sAMAccountName: Performance Log Users
362 systemFlags: -1946157056
363 groupType: -2147483643
364 isCriticalSystemObject: TRUE
365
366 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
367 objectClass: top
368 objectClass: group
369 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
370 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
371 objectSid: S-1-5-32-560
372 sAMAccountName: Windows Authorization Access Group
373 systemFlags: -1946157056
374 groupType: -2147483643
375 isCriticalSystemObject: TRUE
376
377 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
378 objectClass: top
379 objectClass: group
380 description: Terminal Server License Servers
381 objectSid: S-1-5-32-561
382 sAMAccountName: Terminal Server License Servers
383 systemFlags: -1946157056
384 groupType: -2147483643
385 isCriticalSystemObject: TRUE
386
387 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
388 objectClass: top
389 objectClass: group
390 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
391 objectSid: S-1-5-32-562
392 sAMAccountName: Distributed COM Users
393 systemFlags: -1946157056
394 groupType: -2147483643
395 isCriticalSystemObject: TRUE
396
397 dn: CN=IIS_IUSRS,CN=Builtin,${DOMAINDN}
398 objectClass: top
399 objectClass: group
400 description: Integrated group used by the IIS
401 member: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
402 objectSid: S-1-5-32-568
403 sAMAccountName: IIS_IUSRS
404 systemFlags: -1946157056
405 groupType: -2147483643
406 isCriticalSystemObject: TRUE
407
408 dn: CN=Cryptographic Operators,CN=Builtin,${DOMAINDN}
409 objectClass: top
410 objectClass: group
411 description: Members are authorized to perform cryptographic operations.
412 objectSid: S-1-5-32-569
413 sAMAccountName: Cryptographic Operators
414 systemFlags: -1946157056
415 groupType: -2147483643
416 isCriticalSystemObject: TRUE
417
418 dn: CN=Event Log Readers,CN=Builtin,${DOMAINDN}
419 objectClass: top
420 objectClass: group
421 description: Members of this group can read event logs from local machine.
422 objectSid: S-1-5-32-573
423 sAMAccountName: Event Log Readers
424 systemFlags: -1946157056
425 groupType: -2147483643
426 isCriticalSystemObject: TRUE
427
428 dn: CN=Certificate Service DCOM Access,CN=Builtin,${DOMAINDN}
429 objectClass: top
430 objectClass: group
431 description: Members of this group are allowed to connect to Certification Authorities in the enterprise.
432 objectSid: S-1-5-32-574
433 sAMAccountName: Certificate Service DCOM Access
434 systemFlags: -1946157056
435 groupType: -2147483643
436 isCriticalSystemObject: TRUE
437
438 # Add well known security principals
439
440 dn: CN=WellKnown Security Principals,${CONFIGDN}
441 objectClass: top
442 objectClass: container
443 systemFlags: -2147483648
444
445 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
446 objectClass: top
447 objectClass: foreignSecurityPrincipal
448 objectSid: S-1-5-7
449
450 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
451 objectClass: top
452 objectClass: foreignSecurityPrincipal
453 objectSid: S-1-5-11
454
455 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
456 objectClass: top
457 objectClass: foreignSecurityPrincipal
458 objectSid: S-1-5-3
459
460 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
461 objectClass: top
462 objectClass: foreignSecurityPrincipal
463 objectSid: S-1-3-1
464
465 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
466 objectClass: top
467 objectClass: foreignSecurityPrincipal
468 objectSid: S-1-3-0
469
470 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
471 objectClass: top
472 objectClass: foreignSecurityPrincipal
473 objectSid: S-1-5-1
474
475 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
476 objectClass: top
477 objectClass: foreignSecurityPrincipal
478 objectSid: S-1-5-64-21
479
480 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
481 objectClass: top
482 objectClass: foreignSecurityPrincipal
483 objectSid: S-1-5-9
484
485 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
486 objectClass: top
487 objectClass: foreignSecurityPrincipal
488 objectSid: S-1-1-0
489
490 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
491 objectClass: top
492 objectClass: foreignSecurityPrincipal
493 objectSid: S-1-5-4
494
495 dn: CN=IUSR,CN=WellKnown Security Principals,${CONFIGDN}
496 objectClass: top
497 objectClass: foreignSecurityPrincipal
498 objectSid: S-1-5-17
499
500 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
501 objectClass: top
502 objectClass: foreignSecurityPrincipal
503 objectSid: S-1-5-19
504
505 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
506 objectClass: top
507 objectClass: foreignSecurityPrincipal
508 objectSid: S-1-5-2
509
510 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
511 objectClass: top
512 objectClass: foreignSecurityPrincipal
513 objectSid: S-1-5-20
514
515 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
516 objectClass: top
517 objectClass: foreignSecurityPrincipal
518 objectSid: S-1-5-64-10
519
520 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
521 objectClass: top
522 objectClass: foreignSecurityPrincipal
523 objectSid: S-1-5-1000
524
525 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
526 objectClass: top
527 objectClass: foreignSecurityPrincipal
528 objectSid: S-1-5-8
529
530 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
531 objectClass: top
532 objectClass: foreignSecurityPrincipal
533 objectSid: S-1-5-14
534
535 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
536 objectClass: top
537 objectClass: foreignSecurityPrincipal
538 objectSid: S-1-5-12
539
540 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
541 objectClass: top
542 objectClass: foreignSecurityPrincipal
543 objectSid: S-1-5-64-14
544
545 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
546 objectClass: top
547 objectClass: foreignSecurityPrincipal
548 objectSid: S-1-5-10
549
550 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
551 objectClass: top
552 objectClass: foreignSecurityPrincipal
553 objectSid: S-1-5-6
554
555 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
556 objectClass: top
557 objectClass: foreignSecurityPrincipal
558 objectSid: S-1-5-13
559
560 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
561 objectClass: top
562 objectClass: foreignSecurityPrincipal
563 objectSid: S-1-5-15
564
565 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
566 objectClass: top
567 objectClass: foreignSecurityPrincipal
568 objectSid: S-1-5-18