source4/setup/provision_users.ldif

   1 # Add default primary groups (domain users, domain guests, domain computers &
   2 # domain controllers) - needed for the users to find valid primary groups
   3 # (samldb module)
   4
   5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
   6 objectClass: top
   7 objectClass: group
   8 description: All domain users
   9 objectSid: ${DOMAINSID}-513
  10 sAMAccountName: Domain Users
  11 isCriticalSystemObject: TRUE
  12
  13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
  14 objectClass: top
  15 objectClass: group
  16 description: All domain guests
  17 objectSid: ${DOMAINSID}-514
  18 sAMAccountName: Domain Guests
  19 isCriticalSystemObject: TRUE
  20
  21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
  22 objectClass: top
  23 objectClass: group
  24 description: All workstations and servers joined to the domain
  25 objectSid: ${DOMAINSID}-515
  26 sAMAccountName: Domain Computers
  27 isCriticalSystemObject: TRUE
  28
  29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
  30 objectClass: top
  31 objectClass: group
  32 description: All domain controllers in the domain
  33 objectSid: ${DOMAINSID}-516
  34 adminCount: 1
  35 sAMAccountName: Domain Controllers
  36 isCriticalSystemObject: TRUE
  37
  38 # Add users
  39
  40 dn: CN=Administrator,CN=Users,${DOMAINDN}
  41 objectClass: user
  42 description: Built-in account for administering the computer/domain
  43 userAccountControl: 66048
  44 objectSid: ${DOMAINSID}-500
  45 adminCount: 1
  46 accountExpires: 9223372036854775807
  47 sAMAccountName: Administrator
  48 userPassword:: ${ADMINPASS_B64}
  49 isCriticalSystemObject: TRUE
  50
  51 dn: CN=Guest,CN=Users,${DOMAINDN}
  52 objectClass: user
  53 description: Built-in account for guest access to the computer/domain
  54 userAccountControl: 66082
  55 primaryGroupID: 514
  56 objectSid: ${DOMAINSID}-501
  57 sAMAccountName: Guest
  58 isCriticalSystemObject: TRUE
  59
  60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
  61 objectClass: top
  62 objectClass: person
  63 objectClass: organizationalPerson
  64 objectClass: user
  65 description: Key Distribution Center Service Account
  66 showInAdvancedViewOnly: TRUE
  67 userAccountControl: 514
  68 objectSid: ${DOMAINSID}-502
  69 adminCount: 1
  70 accountExpires: 9223372036854775807
  71 sAMAccountName: krbtgt
  72 servicePrincipalName: kadmin/changepw
  73 userPassword:: ${KRBTGTPASS_B64}
  74 isCriticalSystemObject: TRUE
  75
  76 # Add other groups
  77
  78 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
  79 objectClass: top
  80 objectClass: group
  81 description: Members of this group are Read-Only Domain Controllers in the enterprise
  82 objectSid: ${DOMAINSID}-498
  83 sAMAccountName: Enterprise Read-Only Domain Controllers
  84 groupType: -2147483640
  85 isCriticalSystemObject: TRUE
  86
  87 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
  88 objectClass: top
  89 objectClass: group
  90 description: Designated administrators of the domain
  91 member: CN=Administrator,CN=Users,${DOMAINDN}
  92 objectSid: ${DOMAINSID}-512
  93 adminCount: 1
  94 sAMAccountName: Domain Admins
  95 isCriticalSystemObject: TRUE
  96
  97 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
  98 objectClass: top
  99 objectClass: group
 100 description: Members of this group are permitted to publish certificates to the Active Directory
 101 objectSid: ${DOMAINSID}-517
 102 sAMAccountName: Cert Publishers
 103 groupType: -2147483644
 104 isCriticalSystemObject: TRUE
 105
 106 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
 107 objectClass: top
 108 objectClass: group
 109 description: Designated administrators of the schema
 110 member: CN=Administrator,CN=Users,${DOMAINDN}
 111 objectSid: ${DOMAINSID}-518
 112 adminCount: 1
 113 sAMAccountName: Schema Admins
 114 groupType: -2147483640
 115 isCriticalSystemObject: TRUE
 116
 117 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 118 objectClass: top
 119 objectClass: group
 120 description: Designated administrators of the enterprise
 121 member: CN=Administrator,CN=Users,${DOMAINDN}
 122 objectSid: ${DOMAINSID}-519
 123 adminCount: 1
 124 sAMAccountName: Enterprise Admins
 125 groupType: -2147483640
 126 isCriticalSystemObject: TRUE
 127
 128 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
 129 objectClass: top
 130 objectClass: group
 131 description: Members in this group can modify group policy for the domain
 132 member: CN=Administrator,CN=Users,${DOMAINDN}
 133 objectSid: ${DOMAINSID}-520
 134 sAMAccountName: Group Policy Creator Owners
 135 isCriticalSystemObject: TRUE
 136
 137 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
 138 objectClass: top
 139 objectClass: group
 140 description: Members of this group are Read-Only Domain Controllers in the domain
 141 objectSid: ${DOMAINSID}-521
 142 adminCount: 1
 143 sAMAccountName: Read-Only Domain Controllers
 144 isCriticalSystemObject: TRUE
 145
 146 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
 147 objectClass: top
 148 objectClass: group
 149 description: Servers in this group can access remote access properties of users
 150 objectSid: ${DOMAINSID}-553
 151 sAMAccountName: RAS and IAS Servers
 152 groupType: -2147483644
 153 isCriticalSystemObject: TRUE
 154
 155 dn: CN=Allowed RODC Password Replication Group,CN=Users,${DOMAINDN}
 156 objectClass: top
 157 objectClass: group
 158 description: Members in this group can have their passwords replicated to all read-only domain controllers in the domain.
 159 objectSid: ${DOMAINSID}-571
 160 sAMAccountName: Allowed RODC Password Replication Group
 161 groupType: -2147483644
 162 isCriticalSystemObject: TRUE
 163
 164 dn: CN=Denied RODC Password Replication Group,CN=Users,${DOMAINDN}
 165 objectClass: top
 166 objectClass: group
 167 description: Members in this group cannot have their passwords replicated to any read-only domain controllers in the domain.
 168 objectSid: ${DOMAINSID}-572
 169 sAMAccountName: Denied RODC Password Replication Group
 170 groupType: -2147483644
 171 isCriticalSystemObject: TRUE
 172
 173 # Add foreign security principals
 174
 175 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 176 objectClass: top
 177 objectClass: foreignSecurityPrincipal
 178 objectSid: S-1-5-4
 179
 180 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 181 objectClass: top
 182 objectClass: foreignSecurityPrincipal
 183 objectSid: S-1-5-9
 184
 185 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 186 objectClass: top
 187 objectClass: foreignSecurityPrincipal
 188 objectSid: S-1-5-11
 189
 190 dn: CN=S-1-5-17,CN=ForeignSecurityPrincipals,${DOMAINDN}
 191 objectClass: top
 192 objectClass: foreignSecurityPrincipal
 193 objectSid: S-1-5-17
 194
 195 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 196 objectClass: top
 197 objectClass: foreignSecurityPrincipal
 198 objectSid: S-1-5-20
 199
 200 # Add builtin objects
 201
 202 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
 203 objectClass: top
 204 objectClass: group
 205 description: Administrators have complete and unrestricted access to the computer/domain
 206 member: CN=Domain Admins,CN=Users,${DOMAINDN}
 207 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 208 member: CN=Administrator,CN=Users,${DOMAINDN}
 209 objectSid: S-1-5-32-544
 210 adminCount: 1
 211 sAMAccountName: Administrators
 212 systemFlags: -1946157056
 213 groupType: -2147483643
 214 isCriticalSystemObject: TRUE
 215
 216 dn: CN=Users,CN=Builtin,${DOMAINDN}
 217 objectClass: top
 218 objectClass: group
 219 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
 220 member: CN=Domain Users,CN=Users,${DOMAINDN}
 221 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 222 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 223 objectSid: S-1-5-32-545
 224 sAMAccountName: Users
 225 systemFlags: -1946157056
 226 groupType: -2147483643
 227 isCriticalSystemObject: TRUE
 228
 229 dn: CN=Guests,CN=Builtin,${DOMAINDN}
 230 objectClass: top
 231 objectClass: group
 232 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
 233 member: CN=Domain Guests,CN=Users,${DOMAINDN}
 234 member: CN=Guest,CN=Users,${DOMAINDN}
 235 objectSid: S-1-5-32-546
 236 sAMAccountName: Guests
 237 systemFlags: -1946157056
 238 groupType: -2147483643
 239 isCriticalSystemObject: TRUE
 240
 241 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
 242 objectClass: top
 243 objectClass: group
 244 description: Members can administer domain user and group accounts
 245 objectSid: S-1-5-32-548
 246 adminCount: 1
 247 sAMAccountName: Account Operators
 248 systemFlags: -1946157056
 249 groupType: -2147483643
 250 isCriticalSystemObject: TRUE
 251
 252 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
 253 objectClass: top
 254 objectClass: group
 255 description: Members can administer domain servers
 256 objectSid: S-1-5-32-549
 257 adminCount: 1
 258 sAMAccountName: Server Operators
 259 systemFlags: -1946157056
 260 groupType: -2147483643
 261 isCriticalSystemObject: TRUE
 262
 263 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
 264 objectClass: top
 265 objectClass: group
 266 description: Members can administer domain printers
 267 objectSid: S-1-5-32-550
 268 adminCount: 1
 269 sAMAccountName: Print Operators
 270 systemFlags: -1946157056
 271 groupType: -2147483643
 272 isCriticalSystemObject: TRUE
 273
 274 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
 275 objectClass: top
 276 objectClass: group
 277 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
 278 objectSid: S-1-5-32-551
 279 adminCount: 1
 280 sAMAccountName: Backup Operators
 281 systemFlags: -1946157056
 282 groupType: -2147483643
 283 isCriticalSystemObject: TRUE
 284
 285 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
 286 objectClass: top
 287 objectClass: group
 288 description: Supports file replication in a domain
 289 objectSid: S-1-5-32-552
 290 adminCount: 1
 291 sAMAccountName: Replicator
 292 systemFlags: -1946157056
 293 groupType: -2147483643
 294 isCriticalSystemObject: TRUE
 295
 296 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
 297 objectClass: top
 298 objectClass: group
 299 description: A backward compatibility group which allows read access on all users and groups in the domain
 300 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 301 objectSid: S-1-5-32-554
 302 sAMAccountName: Pre-Windows 2000 Compatible Access
 303 systemFlags: -1946157056
 304 groupType: -2147483643
 305 isCriticalSystemObject: TRUE
 306
 307 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
 308 objectClass: top
 309 objectClass: group
 310 description: Members in this group are granted the right to logon remotely
 311 objectSid: S-1-5-32-555
 312 sAMAccountName: Remote Desktop Users
 313 systemFlags: -1946157056
 314 groupType: -2147483643
 315 isCriticalSystemObject: TRUE
 316
 317 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
 318 objectClass: top
 319 objectClass: group
 320 description: Members in this group can have some administrative privileges to manage configuration of networking features
 321 objectSid: S-1-5-32-556
 322 sAMAccountName: Network Configuration Operators
 323 systemFlags: -1946157056
 324 groupType: -2147483643
 325 isCriticalSystemObject: TRUE
 326
 327 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
 328 objectClass: top
 329 objectClass: group
 330 description: Members of this group can create incoming, one-way trusts to this forest
 331 objectSid: S-1-5-32-557
 332 sAMAccountName: Incoming Forest Trust Builders
 333 systemFlags: -1946157056
 334 groupType: -2147483643
 335 isCriticalSystemObject: TRUE
 336
 337 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
 338 objectClass: top
 339 objectClass: group
 340 description: Members of this group have remote access to monitor this computer
 341 objectSid: S-1-5-32-558
 342 sAMAccountName: Performance Monitor Users
 343 systemFlags: -1946157056
 344 groupType: -2147483643
 345 isCriticalSystemObject: TRUE
 346
 347 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
 348 objectClass: top
 349 objectClass: group
 350 description: Members of this group have remote access to schedule logging of performance counters on this computer
 351 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 352 objectSid: S-1-5-32-559
 353 sAMAccountName: Performance Log Users
 354 systemFlags: -1946157056
 355 groupType: -2147483643
 356 isCriticalSystemObject: TRUE
 357
 358 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
 359 objectClass: top
 360 objectClass: group
 361 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
 362 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 363 objectSid: S-1-5-32-560
 364 sAMAccountName: Windows Authorization Access Group
 365 systemFlags: -1946157056
 366 groupType: -2147483643
 367 isCriticalSystemObject: TRUE
 368
 369 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
 370 objectClass: top
 371 objectClass: group
 372 description: Terminal Server License Servers
 373 objectSid: S-1-5-32-561
 374 sAMAccountName: Terminal Server License Servers
 375 systemFlags: -1946157056
 376 groupType: -2147483643
 377 isCriticalSystemObject: TRUE
 378
 379 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
 380 objectClass: top
 381 objectClass: group
 382 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
 383 objectSid: S-1-5-32-562
 384 sAMAccountName: Distributed COM Users
 385 systemFlags: -1946157056
 386 groupType: -2147483643
 387 isCriticalSystemObject: TRUE
 388
 389 dn: CN=Cryptographic Operators,CN=Builtin,${DOMAINDN}
 390 objectClass: top
 391 objectClass: group
 392 description: Members are authorized to perform cryptographic operations.
 393 objectSid: S-1-5-32-569
 394 sAMAccountName: Cryptographic Operators
 395 systemFlags: -1946157056
 396 groupType: -2147483643
 397 isCriticalSystemObject: TRUE
 398
 399 dn: CN=Event Log Readers,CN=Builtin,${DOMAINDN}
 400 objectClass: top
 401 objectClass: group
 402 description: Members of this group can read event logs from local machine.
 403 objectSid: S-1-5-32-573
 404 sAMAccountName: Event Log Readers
 405 systemFlags: -1946157056
 406 groupType: -2147483643
 407 isCriticalSystemObject: TRUE
 408
 409 dn: CN=Certificate Service DCOM Access,CN=Builtin,${DOMAINDN}
 410 objectClass: top
 411 objectClass: group
 412 description: Members of this group are allowed to connect to Certification Authorities in the enterprise.
 413 objectSid: S-1-5-32-574
 414 sAMAccountName: Certificate Service DCOM Access
 415 systemFlags: -1946157056
 416 groupType: -2147483643
 417 isCriticalSystemObject: TRUE
 418
 419 # Add well known security principals
 420
 421 dn: CN=WellKnown Security Principals,${CONFIGDN}
 422 objectClass: top
 423 objectClass: container
 424 systemFlags: -2147483648
 425
 426 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
 427 objectClass: top
 428 objectClass: foreignSecurityPrincipal
 429 objectSid: S-1-5-7
 430
 431 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
 432 objectClass: top
 433 objectClass: foreignSecurityPrincipal
 434 objectSid: S-1-5-11
 435
 436 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
 437 objectClass: top
 438 objectClass: foreignSecurityPrincipal
 439 objectSid: S-1-5-3
 440
 441 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
 442 objectClass: top
 443 objectClass: foreignSecurityPrincipal
 444 objectSid: S-1-3-1
 445
 446 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
 447 objectClass: top
 448 objectClass: foreignSecurityPrincipal
 449 objectSid: S-1-3-0
 450
 451 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
 452 objectClass: top
 453 objectClass: foreignSecurityPrincipal
 454 objectSid: S-1-5-1
 455
 456 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 457 objectClass: top
 458 objectClass: foreignSecurityPrincipal
 459 objectSid: S-1-5-64-21
 460
 461 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
 462 objectClass: top
 463 objectClass: foreignSecurityPrincipal
 464 objectSid: S-1-5-9
 465
 466 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
 467 objectClass: top
 468 objectClass: foreignSecurityPrincipal
 469 objectSid: S-1-1-0
 470
 471 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
 472 objectClass: top
 473 objectClass: foreignSecurityPrincipal
 474 objectSid: S-1-5-4
 475
 476 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
 477 objectClass: top
 478 objectClass: foreignSecurityPrincipal
 479 objectSid: S-1-5-19
 480
 481 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
 482 objectClass: top
 483 objectClass: foreignSecurityPrincipal
 484 objectSid: S-1-5-2
 485
 486 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
 487 objectClass: top
 488 objectClass: foreignSecurityPrincipal
 489 objectSid: S-1-5-20
 490
 491 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 492 objectClass: top
 493 objectClass: foreignSecurityPrincipal
 494 objectSid: S-1-5-64-10
 495
 496 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
 497 objectClass: top
 498 objectClass: foreignSecurityPrincipal
 499 objectSid: S-1-5-1000
 500
 501 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
 502 objectClass: top
 503 objectClass: foreignSecurityPrincipal
 504 objectSid: S-1-5-8
 505
 506 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
 507 objectClass: top
 508 objectClass: foreignSecurityPrincipal
 509 objectSid: S-1-5-14
 510
 511 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
 512 objectClass: top
 513 objectClass: foreignSecurityPrincipal
 514 objectSid: S-1-5-12
 515
 516 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 517 objectClass: top
 518 objectClass: foreignSecurityPrincipal
 519 objectSid: S-1-5-64-14
 520
 521 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
 522 objectClass: top
 523 objectClass: foreignSecurityPrincipal
 524 objectSid: S-1-5-10
 525
 526 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
 527 objectClass: top
 528 objectClass: foreignSecurityPrincipal
 529 objectSid: S-1-5-6
 530
 531 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
 532 objectClass: top
 533 objectClass: foreignSecurityPrincipal
 534 objectSid: S-1-5-13
 535
 536 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
 537 objectClass: top
 538 objectClass: foreignSecurityPrincipal
 539 objectSid: S-1-5-15
 540
 541 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
 542 objectClass: top
 543 objectClass: foreignSecurityPrincipal
 544 objectSid: S-1-5-18