source4/setup/provision_users.ldif

   1 # Add default primary groups (domain users, domain guests, domain computers &
   2 # domain controllers) - needed for the users to find valid primary groups
   3 # (samldb module)
   4
   5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
   6 objectClass: top
   7 objectClass: group
   8 description: All domain users
   9 objectSid: ${DOMAINSID}-513
  10 sAMAccountName: Domain Users
  11 isCriticalSystemObject: TRUE
  12
  13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
  14 objectClass: top
  15 objectClass: group
  16 description: All domain guests
  17 objectSid: ${DOMAINSID}-514
  18 sAMAccountName: Domain Guests
  19 isCriticalSystemObject: TRUE
  20
  21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
  22 objectClass: top
  23 objectClass: group
  24 description: All workstations and servers joined to the domain
  25 objectSid: ${DOMAINSID}-515
  26 sAMAccountName: Domain Computers
  27 isCriticalSystemObject: TRUE
  28
  29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
  30 objectClass: top
  31 objectClass: group
  32 description: All domain controllers in the domain
  33 objectSid: ${DOMAINSID}-516
  34 adminCount: 1
  35 sAMAccountName: Domain Controllers
  36 isCriticalSystemObject: TRUE
  37
  38 # Add users
  39
  40 dn: CN=Administrator,CN=Users,${DOMAINDN}
  41 objectClass: user
  42 description: Built-in account for administering the computer/domain
  43 userAccountControl: 66048
  44 objectSid: ${DOMAINSID}-500
  45 adminCount: 1
  46 accountExpires: 9223372036854775807
  47 sAMAccountName: Administrator
  48 userPassword:: ${ADMINPASS_B64}
  49 isCriticalSystemObject: TRUE
  50
  51 dn: CN=Guest,CN=Users,${DOMAINDN}
  52 objectClass: user
  53 description: Built-in account for guest access to the computer/domain
  54 userAccountControl: 66082
  55 primaryGroupID: 514
  56 objectSid: ${DOMAINSID}-501
  57 sAMAccountName: Guest
  58 isCriticalSystemObject: TRUE
  59
  60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
  61 objectClass: top
  62 objectClass: person
  63 objectClass: organizationalPerson
  64 objectClass: user
  65 description: Key Distribution Center Service Account
  66 showInAdvancedViewOnly: TRUE
  67 userAccountControl: 514
  68 objectSid: ${DOMAINSID}-502
  69 adminCount: 1
  70 accountExpires: 9223372036854775807
  71 sAMAccountName: krbtgt
  72 servicePrincipalName: kadmin/changepw
  73 userPassword:: ${KRBTGTPASS_B64}
  74 isCriticalSystemObject: TRUE
  75
  76 # Add other groups
  77
  78 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
  79 objectClass: top
  80 objectClass: group
  81 description: Members of this group are Read-Only Domain Controllers in the enterprise
  82 objectSid: ${DOMAINSID}-498
  83 sAMAccountName: Enterprise Read-Only Domain Controllers
  84 groupType: -2147483640
  85 isCriticalSystemObject: TRUE
  86
  87 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
  88 objectClass: top
  89 objectClass: group
  90 description: Designated administrators of the domain
  91 member: CN=Administrator,CN=Users,${DOMAINDN}
  92 objectSid: ${DOMAINSID}-512
  93 adminCount: 1
  94 sAMAccountName: Domain Admins
  95 isCriticalSystemObject: TRUE
  96
  97 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
  98 objectClass: top
  99 objectClass: group
 100 description: Members of this group are permitted to publish certificates to the Active Directory
 101 objectSid: ${DOMAINSID}-517
 102 sAMAccountName: Cert Publishers
 103 groupType: -2147483644
 104 isCriticalSystemObject: TRUE
 105
 106 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
 107 objectClass: top
 108 objectClass: group
 109 description: Designated administrators of the schema
 110 member: CN=Administrator,CN=Users,${DOMAINDN}
 111 objectSid: ${DOMAINSID}-518
 112 adminCount: 1
 113 sAMAccountName: Schema Admins
 114 groupType: -2147483640
 115 isCriticalSystemObject: TRUE
 116
 117 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 118 objectClass: top
 119 objectClass: group
 120 description: Designated administrators of the enterprise
 121 member: CN=Administrator,CN=Users,${DOMAINDN}
 122 objectSid: ${DOMAINSID}-519
 123 adminCount: 1
 124 sAMAccountName: Enterprise Admins
 125 groupType: -2147483640
 126 isCriticalSystemObject: TRUE
 127
 128 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
 129 objectClass: top
 130 objectClass: group
 131 description: Members in this group can modify group policies for the domain
 132 member: CN=Administrator,CN=Users,${DOMAINDN}
 133 objectSid: ${DOMAINSID}-520
 134 sAMAccountName: Group Policy Creator Owners
 135 isCriticalSystemObject: TRUE
 136
 137 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
 138 objectClass: top
 139 objectClass: group
 140 description: Members of this group are Read-Only Domain Controllers in the domain
 141 objectSid: ${DOMAINSID}-521
 142 adminCount: 1
 143 sAMAccountName: Read-Only Domain Controllers
 144 isCriticalSystemObject: TRUE
 145
 146 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
 147 objectClass: top
 148 objectClass: group
 149 description: Servers in this group can access remote access properties of users
 150 objectSid: ${DOMAINSID}-553
 151 sAMAccountName: RAS and IAS Servers
 152 groupType: -2147483644
 153 isCriticalSystemObject: TRUE
 154
 155 dn: CN=Allowed RODC Password Replication Group,CN=Users,${DOMAINDN}
 156 objectClass: top
 157 objectClass: group
 158 description: Members in this group can have their passwords replicated to all read-only domain controllers in the domain.
 159 objectSid: ${DOMAINSID}-571
 160 sAMAccountName: Allowed RODC Password Replication Group
 161 groupType: -2147483644
 162 isCriticalSystemObject: TRUE
 163
 164 dn: CN=Denied RODC Password Replication Group,CN=Users,${DOMAINDN}
 165 objectClass: top
 166 objectClass: group
 167 description: Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.
 168 member: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
 169 member: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
 170 member: CN=Domain Admins,CN=Users,${DOMAINDN}
 171 member: CN=Cert Publishers,CN=Users,${DOMAINDN}
 172 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 173 member: CN=Schema Admins,CN=Users,${DOMAINDN}
 174 member: CN=Domain Controllers,CN=Users,${DOMAINDN}
 175 member: CN=krbtgt,CN=Users,${DOMAINDN}
 176 objectSid: ${DOMAINSID}-572
 177 sAMAccountName: Denied RODC Password Replication Group
 178 groupType: -2147483644
 179 isCriticalSystemObject: TRUE
 180
 181 # Add foreign security principals
 182
 183 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 184 objectClass: top
 185 objectClass: foreignSecurityPrincipal
 186 objectSid: S-1-5-4
 187
 188 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 189 objectClass: top
 190 objectClass: foreignSecurityPrincipal
 191 objectSid: S-1-5-9
 192
 193 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 194 objectClass: top
 195 objectClass: foreignSecurityPrincipal
 196 objectSid: S-1-5-11
 197
 198 dn: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
 199 objectClass: top
 200 objectClass: foreignSecurityPrincipal
 201 objectSid: S-1-5-17
 202
 203 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 204 objectClass: top
 205 objectClass: foreignSecurityPrincipal
 206 objectSid: S-1-5-20
 207
 208 # Add builtin objects
 209
 210 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
 211 objectClass: top
 212 objectClass: group
 213 description: Administrators have complete and unrestricted access to the computer/domain
 214 member: CN=Domain Admins,CN=Users,${DOMAINDN}
 215 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 216 member: CN=Administrator,CN=Users,${DOMAINDN}
 217 objectSid: S-1-5-32-544
 218 adminCount: 1
 219 sAMAccountName: Administrators
 220 systemFlags: -1946157056
 221 groupType: -2147483643
 222 isCriticalSystemObject: TRUE
 223
 224 dn: CN=Users,CN=Builtin,${DOMAINDN}
 225 objectClass: top
 226 objectClass: group
 227 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
 228 member: CN=Domain Users,CN=Users,${DOMAINDN}
 229 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 230 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 231 objectSid: S-1-5-32-545
 232 sAMAccountName: Users
 233 systemFlags: -1946157056
 234 groupType: -2147483643
 235 isCriticalSystemObject: TRUE
 236
 237 dn: CN=Guests,CN=Builtin,${DOMAINDN}
 238 objectClass: top
 239 objectClass: group
 240 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
 241 member: CN=Domain Guests,CN=Users,${DOMAINDN}
 242 member: CN=Guest,CN=Users,${DOMAINDN}
 243 objectSid: S-1-5-32-546
 244 sAMAccountName: Guests
 245 systemFlags: -1946157056
 246 groupType: -2147483643
 247 isCriticalSystemObject: TRUE
 248
 249 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
 250 objectClass: top
 251 objectClass: group
 252 description: Members can administer domain user and group accounts
 253 objectSid: S-1-5-32-548
 254 adminCount: 1
 255 sAMAccountName: Account Operators
 256 systemFlags: -1946157056
 257 groupType: -2147483643
 258 isCriticalSystemObject: TRUE
 259
 260 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
 261 objectClass: top
 262 objectClass: group
 263 description: Members can administer domain servers
 264 objectSid: S-1-5-32-549
 265 adminCount: 1
 266 sAMAccountName: Server Operators
 267 systemFlags: -1946157056
 268 groupType: -2147483643
 269 isCriticalSystemObject: TRUE
 270
 271 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
 272 objectClass: top
 273 objectClass: group
 274 description: Members can administer domain printers
 275 objectSid: S-1-5-32-550
 276 adminCount: 1
 277 sAMAccountName: Print Operators
 278 systemFlags: -1946157056
 279 groupType: -2147483643
 280 isCriticalSystemObject: TRUE
 281
 282 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
 283 objectClass: top
 284 objectClass: group
 285 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
 286 objectSid: S-1-5-32-551
 287 adminCount: 1
 288 sAMAccountName: Backup Operators
 289 systemFlags: -1946157056
 290 groupType: -2147483643
 291 isCriticalSystemObject: TRUE
 292
 293 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
 294 objectClass: top
 295 objectClass: group
 296 description: Supports file replication in a domain
 297 objectSid: S-1-5-32-552
 298 adminCount: 1
 299 sAMAccountName: Replicator
 300 systemFlags: -1946157056
 301 groupType: -2147483643
 302 isCriticalSystemObject: TRUE
 303
 304 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
 305 objectClass: top
 306 objectClass: group
 307 description: A backward compatibility group which allows read access on all users and groups in the domain
 308 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 309 objectSid: S-1-5-32-554
 310 sAMAccountName: Pre-Windows 2000 Compatible Access
 311 systemFlags: -1946157056
 312 groupType: -2147483643
 313 isCriticalSystemObject: TRUE
 314
 315 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
 316 objectClass: top
 317 objectClass: group
 318 description: Members in this group are granted the right to logon remotely
 319 objectSid: S-1-5-32-555
 320 sAMAccountName: Remote Desktop Users
 321 systemFlags: -1946157056
 322 groupType: -2147483643
 323 isCriticalSystemObject: TRUE
 324
 325 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
 326 objectClass: top
 327 objectClass: group
 328 description: Members in this group can have some administrative privileges to manage configuration of networking features
 329 objectSid: S-1-5-32-556
 330 sAMAccountName: Network Configuration Operators
 331 systemFlags: -1946157056
 332 groupType: -2147483643
 333 isCriticalSystemObject: TRUE
 334
 335 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
 336 objectClass: top
 337 objectClass: group
 338 description: Members of this group can create incoming, one-way trusts to this forest
 339 objectSid: S-1-5-32-557
 340 sAMAccountName: Incoming Forest Trust Builders
 341 systemFlags: -1946157056
 342 groupType: -2147483643
 343 isCriticalSystemObject: TRUE
 344
 345 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
 346 objectClass: top
 347 objectClass: group
 348 description: Members of this group have remote access to monitor this computer
 349 objectSid: S-1-5-32-558
 350 sAMAccountName: Performance Monitor Users
 351 systemFlags: -1946157056
 352 groupType: -2147483643
 353 isCriticalSystemObject: TRUE
 354
 355 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
 356 objectClass: top
 357 objectClass: group
 358 description: Members of this group have remote access to schedule logging of performance counters on this computer
 359 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 360 objectSid: S-1-5-32-559
 361 sAMAccountName: Performance Log Users
 362 systemFlags: -1946157056
 363 groupType: -2147483643
 364 isCriticalSystemObject: TRUE
 365
 366 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
 367 objectClass: top
 368 objectClass: group
 369 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
 370 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 371 objectSid: S-1-5-32-560
 372 sAMAccountName: Windows Authorization Access Group
 373 systemFlags: -1946157056
 374 groupType: -2147483643
 375 isCriticalSystemObject: TRUE
 376
 377 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
 378 objectClass: top
 379 objectClass: group
 380 description: Terminal Server License Servers
 381 objectSid: S-1-5-32-561
 382 sAMAccountName: Terminal Server License Servers
 383 systemFlags: -1946157056
 384 groupType: -2147483643
 385 isCriticalSystemObject: TRUE
 386
 387 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
 388 objectClass: top
 389 objectClass: group
 390 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
 391 objectSid: S-1-5-32-562
 392 sAMAccountName: Distributed COM Users
 393 systemFlags: -1946157056
 394 groupType: -2147483643
 395 isCriticalSystemObject: TRUE
 396
 397 dn: CN=IIS_IUSRS,CN=Builtin,${DOMAINDN}
 398 objectClass: top
 399 objectClass: group
 400 description: Integrated group used by the IIS
 401 member: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
 402 objectSid: S-1-5-32-568
 403 sAMAccountName: IIS_IUSRS
 404 systemFlags: -1946157056
 405 groupType: -2147483643
 406 isCriticalSystemObject: TRUE
 407
 408 dn: CN=Cryptographic Operators,CN=Builtin,${DOMAINDN}
 409 objectClass: top
 410 objectClass: group
 411 description: Members are authorized to perform cryptographic operations.
 412 objectSid: S-1-5-32-569
 413 sAMAccountName: Cryptographic Operators
 414 systemFlags: -1946157056
 415 groupType: -2147483643
 416 isCriticalSystemObject: TRUE
 417
 418 dn: CN=Event Log Readers,CN=Builtin,${DOMAINDN}
 419 objectClass: top
 420 objectClass: group
 421 description: Members of this group can read event logs from local machine.
 422 objectSid: S-1-5-32-573
 423 sAMAccountName: Event Log Readers
 424 systemFlags: -1946157056
 425 groupType: -2147483643
 426 isCriticalSystemObject: TRUE
 427
 428 dn: CN=Certificate Service DCOM Access,CN=Builtin,${DOMAINDN}
 429 objectClass: top
 430 objectClass: group
 431 description: Members of this group are allowed to connect to Certification Authorities in the enterprise.
 432 objectSid: S-1-5-32-574
 433 sAMAccountName: Certificate Service DCOM Access
 434 systemFlags: -1946157056
 435 groupType: -2147483643
 436 isCriticalSystemObject: TRUE
 437
 438 # Add well known security principals
 439
 440 dn: CN=WellKnown Security Principals,${CONFIGDN}
 441 objectClass: top
 442 objectClass: container
 443 systemFlags: -2147483648
 444
 445 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
 446 objectClass: top
 447 objectClass: foreignSecurityPrincipal
 448 objectSid: S-1-5-7
 449
 450 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
 451 objectClass: top
 452 objectClass: foreignSecurityPrincipal
 453 objectSid: S-1-5-11
 454
 455 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
 456 objectClass: top
 457 objectClass: foreignSecurityPrincipal
 458 objectSid: S-1-5-3
 459
 460 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
 461 objectClass: top
 462 objectClass: foreignSecurityPrincipal
 463 objectSid: S-1-3-1
 464
 465 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
 466 objectClass: top
 467 objectClass: foreignSecurityPrincipal
 468 objectSid: S-1-3-0
 469
 470 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
 471 objectClass: top
 472 objectClass: foreignSecurityPrincipal
 473 objectSid: S-1-5-1
 474
 475 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 476 objectClass: top
 477 objectClass: foreignSecurityPrincipal
 478 objectSid: S-1-5-64-21
 479
 480 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
 481 objectClass: top
 482 objectClass: foreignSecurityPrincipal
 483 objectSid: S-1-5-9
 484
 485 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
 486 objectClass: top
 487 objectClass: foreignSecurityPrincipal
 488 objectSid: S-1-1-0
 489
 490 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
 491 objectClass: top
 492 objectClass: foreignSecurityPrincipal
 493 objectSid: S-1-5-4
 494
 495 dn: CN=IUSR,CN=WellKnown Security Principals,${CONFIGDN}
 496 objectClass: top
 497 objectClass: foreignSecurityPrincipal
 498 objectSid: S-1-5-17
 499
 500 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
 501 objectClass: top
 502 objectClass: foreignSecurityPrincipal
 503 objectSid: S-1-5-19
 504
 505 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
 506 objectClass: top
 507 objectClass: foreignSecurityPrincipal
 508 objectSid: S-1-5-2
 509
 510 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
 511 objectClass: top
 512 objectClass: foreignSecurityPrincipal
 513 objectSid: S-1-5-20
 514
 515 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 516 objectClass: top
 517 objectClass: foreignSecurityPrincipal
 518 objectSid: S-1-5-64-10
 519
 520 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
 521 objectClass: top
 522 objectClass: foreignSecurityPrincipal
 523 objectSid: S-1-5-1000
 524
 525 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
 526 objectClass: top
 527 objectClass: foreignSecurityPrincipal
 528 objectSid: S-1-5-8
 529
 530 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
 531 objectClass: top
 532 objectClass: foreignSecurityPrincipal
 533 objectSid: S-1-5-14
 534
 535 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
 536 objectClass: top
 537 objectClass: foreignSecurityPrincipal
 538 objectSid: S-1-5-12
 539
 540 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 541 objectClass: top
 542 objectClass: foreignSecurityPrincipal
 543 objectSid: S-1-5-64-14
 544
 545 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
 546 objectClass: top
 547 objectClass: foreignSecurityPrincipal
 548 objectSid: S-1-5-10
 549
 550 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
 551 objectClass: top
 552 objectClass: foreignSecurityPrincipal
 553 objectSid: S-1-5-6
 554
 555 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
 556 objectClass: top
 557 objectClass: foreignSecurityPrincipal
 558 objectSid: S-1-5-13
 559
 560 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
 561 objectClass: top
 562 objectClass: foreignSecurityPrincipal
 563 objectSid: S-1-5-15
 564
 565 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
 566 objectClass: top
 567 objectClass: foreignSecurityPrincipal
 568 objectSid: S-1-5-18