source4/setup/provision_users.ldif

   1 # Add default primary groups (domain users, domain guests, domain computers &
   2 # domain controllers) - needed for the users to find valid primary groups
   3 # (samldb module)
   4
   5 dn: CN=Domain Users,CN=Users,${DOMAINDN}
   6 objectClass: top
   7 objectClass: group
   8 description: All domain users
   9 objectSid: ${DOMAINSID}-513
  10 sAMAccountName: Domain Users
  11 isCriticalSystemObject: TRUE
  12
  13 dn: CN=Domain Guests,CN=Users,${DOMAINDN}
  14 objectClass: top
  15 objectClass: group
  16 description: All domain guests
  17 objectSid: ${DOMAINSID}-514
  18 sAMAccountName: Domain Guests
  19 isCriticalSystemObject: TRUE
  20
  21 dn: CN=Domain Computers,CN=Users,${DOMAINDN}
  22 objectClass: top
  23 objectClass: group
  24 description: All workstations and servers joined to the domain
  25 objectSid: ${DOMAINSID}-515
  26 sAMAccountName: Domain Computers
  27 isCriticalSystemObject: TRUE
  28
  29 dn: CN=Domain Controllers,CN=Users,${DOMAINDN}
  30 objectClass: top
  31 objectClass: group
  32 description: All domain controllers in the domain
  33 objectSid: ${DOMAINSID}-516
  34 adminCount: 1
  35 sAMAccountName: Domain Controllers
  36 isCriticalSystemObject: TRUE
  37
  38 # Add users
  39
  40 dn: CN=Administrator,CN=Users,${DOMAINDN}
  41 objectClass: user
  42 description: Built-in account for administering the computer/domain
  43 userAccountControl: 66048
  44 objectSid: ${DOMAINSID}-500
  45 adminCount: 1
  46 accountExpires: 9223372036854775807
  47 sAMAccountName: Administrator
  48 userPassword:: ${ADMINPASS_B64}
  49 isCriticalSystemObject: TRUE
  50
  51 dn: CN=Guest,CN=Users,${DOMAINDN}
  52 objectClass: user
  53 description: Built-in account for guest access to the computer/domain
  54 userAccountControl: 66082
  55 primaryGroupID: 514
  56 objectSid: ${DOMAINSID}-501
  57 sAMAccountName: Guest
  58 isCriticalSystemObject: TRUE
  59
  60 dn: CN=krbtgt,CN=Users,${DOMAINDN}
  61 objectClass: top
  62 objectClass: person
  63 objectClass: organizationalPerson
  64 objectClass: user
  65 description: Key Distribution Center Service Account
  66 showInAdvancedViewOnly: TRUE
  67 userAccountControl: 514
  68 objectSid: ${DOMAINSID}-502
  69 adminCount: 1
  70 accountExpires: 9223372036854775807
  71 sAMAccountName: krbtgt
  72 servicePrincipalName: kadmin/changepw
  73 userPassword:: ${KRBTGTPASS_B64}
  74 isCriticalSystemObject: TRUE
  75
  76 # Add other groups
  77
  78 dn: CN=Enterprise Admins,CN=Users,${DOMAINDN}
  79 objectClass: top
  80 objectClass: group
  81 description: Designated administrators of the enterprise
  82 member: CN=Administrator,CN=Users,${DOMAINDN}
  83 objectSid: ${DOMAINSID}-519
  84 adminCount: 1
  85 sAMAccountName: Enterprise Admins
  86 isCriticalSystemObject: TRUE
  87
  88 dn: CN=Schema Admins,CN=Users,${DOMAINDN}
  89 objectClass: top
  90 objectClass: group
  91 description: Designated administrators of the schema
  92 member: CN=Administrator,CN=Users,${DOMAINDN}
  93 objectSid: ${DOMAINSID}-518
  94 adminCount: 1
  95 sAMAccountName: Schema Admins
  96 isCriticalSystemObject: TRUE
  97
  98 dn: CN=Cert Publishers,CN=Users,${DOMAINDN}
  99 objectClass: top
 100 objectClass: group
 101 description: Members of this group are permitted to publish certificates to the Active Directory
 102 groupType: -2147483644
 103 objectSid: ${DOMAINSID}-517
 104 sAMAccountName: Cert Publishers
 105 isCriticalSystemObject: TRUE
 106
 107 dn: CN=Domain Admins,CN=Users,${DOMAINDN}
 108 objectClass: top
 109 objectClass: group
 110 description: Designated administrators of the domain
 111 member: CN=Administrator,CN=Users,${DOMAINDN}
 112 objectSid: ${DOMAINSID}-512
 113 adminCount: 1
 114 sAMAccountName: Domain Admins
 115 isCriticalSystemObject: TRUE
 116
 117 dn: CN=Group Policy Creator Owners,CN=Users,${DOMAINDN}
 118 objectClass: top
 119 objectClass: group
 120 description: Members in this group can modify group policy for the domain
 121 member: CN=Administrator,CN=Users,${DOMAINDN}
 122 objectSid: ${DOMAINSID}-520
 123 sAMAccountName: Group Policy Creator Owners
 124 isCriticalSystemObject: TRUE
 125
 126 dn: CN=RAS and IAS Servers,CN=Users,${DOMAINDN}
 127 objectClass: top
 128 objectClass: group
 129 description: Servers in this group can access remote access properties of users
 130 objectSid: ${DOMAINSID}-553
 131 sAMAccountName: RAS and IAS Servers
 132 groupType: -2147483644
 133 isCriticalSystemObject: TRUE
 134
 135 dn: CN=Read-Only Domain Controllers,CN=Users,${DOMAINDN}
 136 objectClass: top
 137 objectClass: group
 138 description: Read-only domain controllers
 139 objectSid: ${DOMAINSID}-521
 140 sAMAccountName: Read-Only Domain Controllers
 141 groupType: -2147483644
 142 isCriticalSystemObject: TRUE
 143
 144 dn: CN=Enterprise Read-Only Domain Controllers,CN=Users,${DOMAINDN}
 145 objectClass: top
 146 objectClass: group
 147 description: Enterprise read-only domain controllers
 148 objectSid: ${DOMAINSID}-498
 149 sAMAccountName: Enterprise Read-Only Domain Controllers
 150 groupType: -2147483644
 151 isCriticalSystemObject: TRUE
 152
 153 dn: CN=Certificate Service DCOM Access,CN=Users,${DOMAINDN}
 154 objectClass: top
 155 objectClass: group
 156 description: Certificate Service DCOM Access
 157 objectSid: ${DOMAINSID}-574
 158 sAMAccountName: Certificate Service DCOM Access
 159 groupType: -2147483644
 160 isCriticalSystemObject: TRUE
 161
 162 dn: CN=Cryptographic Operators,CN=Users,${DOMAINDN}
 163 objectClass: top
 164 objectClass: group
 165 description: Cryptographic Operators
 166 objectSid: ${DOMAINSID}-569
 167 sAMAccountName: Cryptographic Operators
 168 groupType: -2147483644
 169 isCriticalSystemObject: TRUE
 170
 171 dn: CN=Event Log Readers,CN=Users,${DOMAINDN}
 172 objectClass: top
 173 objectClass: group
 174 description: Event Log Readers
 175 objectSid: ${DOMAINSID}-573
 176 sAMAccountName: Event Log Readers
 177 groupType: -2147483644
 178 isCriticalSystemObject: TRUE
 179
 180 # Add foreign security principals
 181
 182 dn: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 183 objectClass: top
 184 objectClass: foreignSecurityPrincipal
 185 objectSid: S-1-5-4
 186
 187 dn: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 188 objectClass: top
 189 objectClass: foreignSecurityPrincipal
 190 objectSid: S-1-5-9
 191
 192 dn: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 193 objectClass: top
 194 objectClass: foreignSecurityPrincipal
 195 objectSid: S-1-5-11
 196
 197 dn: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 198 objectClass: top
 199 objectClass: foreignSecurityPrincipal
 200 objectSid: S-1-5-20
 201
 202 # Add builtin objects
 203
 204 dn: CN=Administrators,CN=Builtin,${DOMAINDN}
 205 objectClass: top
 206 objectClass: group
 207 description: Administrators have complete and unrestricted access to the computer/domain
 208 member: CN=Domain Admins,CN=Users,${DOMAINDN}
 209 member: CN=Enterprise Admins,CN=Users,${DOMAINDN}
 210 member: CN=Administrator,CN=Users,${DOMAINDN}
 211 objectSid: S-1-5-32-544
 212 adminCount: 1
 213 sAMAccountName: Administrators
 214 systemFlags: -1946157056
 215 groupType: -2147483643
 216 isCriticalSystemObject: TRUE
 217
 218 dn: CN=Users,CN=Builtin,${DOMAINDN}
 219 objectClass: top
 220 objectClass: group
 221 description: Users are prevented from making accidental or intentional system-wide changes.  Thus, Users can run certified applications, but not most legacy applications
 222 member: CN=Domain Users,CN=Users,${DOMAINDN}
 223 member: CN=S-1-5-4,CN=ForeignSecurityPrincipals,${DOMAINDN}
 224 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 225 objectSid: S-1-5-32-545
 226 sAMAccountName: Users
 227 systemFlags: -1946157056
 228 groupType: -2147483643
 229 isCriticalSystemObject: TRUE
 230
 231 dn: CN=Guests,CN=Builtin,${DOMAINDN}
 232 objectClass: top
 233 objectClass: group
 234 description: Guests have the same access as members of the Users group by default, except for the Guest account which is further restricted
 235 member: CN=Domain Guests,CN=Users,${DOMAINDN}
 236 member: CN=Guest,CN=Users,${DOMAINDN}
 237 objectSid: S-1-5-32-546
 238 sAMAccountName: Guests
 239 systemFlags: -1946157056
 240 groupType: -2147483643
 241 isCriticalSystemObject: TRUE
 242
 243 dn: CN=Print Operators,CN=Builtin,${DOMAINDN}
 244 objectClass: top
 245 objectClass: group
 246 description: Members can administer domain printers
 247 objectSid: S-1-5-32-550
 248 adminCount: 1
 249 sAMAccountName: Print Operators
 250 systemFlags: -1946157056
 251 groupType: -2147483643
 252 isCriticalSystemObject: TRUE
 253
 254 dn: CN=Backup Operators,CN=Builtin,${DOMAINDN}
 255 objectClass: top
 256 objectClass: group
 257 description: Backup Operators can override security restrictions for the sole purpose of backing up or restoring files
 258 objectSid: S-1-5-32-551
 259 adminCount: 1
 260 sAMAccountName: Backup Operators
 261 systemFlags: -1946157056
 262 groupType: -2147483643
 263 isCriticalSystemObject: TRUE
 264
 265 dn: CN=Replicator,CN=Builtin,${DOMAINDN}
 266 objectClass: top
 267 objectClass: group
 268 description: Supports file replication in a domain
 269 objectSid: S-1-5-32-552
 270 adminCount: 1
 271 sAMAccountName: Replicator
 272 systemFlags: -1946157056
 273 groupType: -2147483643
 274 isCriticalSystemObject: TRUE
 275
 276 dn: CN=Remote Desktop Users,CN=Builtin,${DOMAINDN}
 277 objectClass: top
 278 objectClass: group
 279 description: Members in this group are granted the right to logon remotely
 280 objectSid: S-1-5-32-555
 281 sAMAccountName: Remote Desktop Users
 282 systemFlags: -1946157056
 283 groupType: -2147483643
 284 isCriticalSystemObject: TRUE
 285
 286 dn: CN=Network Configuration Operators,CN=Builtin,${DOMAINDN}
 287 objectClass: top
 288 objectClass: group
 289 description: Members in this group can have some administrative privileges to manage configuration of networking features
 290 objectSid: S-1-5-32-556
 291 sAMAccountName: Network Configuration Operators
 292 systemFlags: -1946157056
 293 groupType: -2147483643
 294 isCriticalSystemObject: TRUE
 295
 296 dn: CN=Performance Monitor Users,CN=Builtin,${DOMAINDN}
 297 objectClass: top
 298 objectClass: group
 299 description: Members of this group have remote access to monitor this computer
 300 objectSid: S-1-5-32-558
 301 sAMAccountName: Performance Monitor Users
 302 systemFlags: -1946157056
 303 groupType: -2147483643
 304 isCriticalSystemObject: TRUE
 305
 306 dn: CN=Performance Log Users,CN=Builtin,${DOMAINDN}
 307 objectClass: top
 308 objectClass: group
 309 description: Members of this group have remote access to schedule logging of performance counters on this computer
 310 member: CN=S-1-5-20,CN=ForeignSecurityPrincipals,${DOMAINDN}
 311 objectSid: S-1-5-32-559
 312 sAMAccountName: Performance Log Users
 313 systemFlags: -1946157056
 314 groupType: -2147483643
 315 isCriticalSystemObject: TRUE
 316
 317 dn: CN=Server Operators,CN=Builtin,${DOMAINDN}
 318 objectClass: top
 319 objectClass: group
 320 description: Members can administer domain servers
 321 objectSid: S-1-5-32-549
 322 adminCount: 1
 323 sAMAccountName: Server Operators
 324 systemFlags: -1946157056
 325 groupType: -2147483643
 326 isCriticalSystemObject: TRUE
 327
 328 dn: CN=Account Operators,CN=Builtin,${DOMAINDN}
 329 objectClass: top
 330 objectClass: group
 331 description: Members can administer domain user and group accounts
 332 objectSid: S-1-5-32-548
 333 adminCount: 1
 334 sAMAccountName: Account Operators
 335 systemFlags: -1946157056
 336 groupType: -2147483643
 337 isCriticalSystemObject: TRUE
 338
 339 dn: CN=Pre-Windows 2000 Compatible Access,CN=Builtin,${DOMAINDN}
 340 objectClass: top
 341 objectClass: group
 342 description: A backward compatibility group which allows read access on all users and groups in the domain
 343 member: CN=S-1-5-11,CN=ForeignSecurityPrincipals,${DOMAINDN}
 344 objectSid: S-1-5-32-554
 345 sAMAccountName: Pre-Windows 2000 Compatible Access
 346 systemFlags: -1946157056
 347 groupType: -2147483643
 348 isCriticalSystemObject: TRUE
 349
 350 dn: CN=Incoming Forest Trust Builders,CN=Builtin,${DOMAINDN}
 351 objectClass: top
 352 objectClass: group
 353 description: Members of this group can create incoming, one-way trusts to this forest
 354 objectSid: S-1-5-32-557
 355 sAMAccountName: Incoming Forest Trust Builders
 356 systemFlags: -1946157056
 357 groupType: -2147483643
 358 isCriticalSystemObject: TRUE
 359
 360 dn: CN=Windows Authorization Access Group,CN=Builtin,${DOMAINDN}
 361 objectClass: top
 362 objectClass: group
 363 description: Members of this group have access to the computed tokenGroupsGlobalAndUniversal attribute on User objects
 364 member: CN=S-1-5-9,CN=ForeignSecurityPrincipals,${DOMAINDN}
 365 objectSid: S-1-5-32-560
 366 sAMAccountName: Windows Authorization Access Group
 367 systemFlags: -1946157056
 368 groupType: -2147483643
 369 isCriticalSystemObject: TRUE
 370
 371 dn: CN=Terminal Server License Servers,CN=Builtin,${DOMAINDN}
 372 objectClass: top
 373 objectClass: group
 374 description: Terminal Server License Servers
 375 objectSid: S-1-5-32-561
 376 sAMAccountName: Terminal Server License Servers
 377 systemFlags: -1946157056
 378 groupType: -2147483643
 379 isCriticalSystemObject: TRUE
 380
 381 dn: CN=Distributed COM Users,CN=Builtin,${DOMAINDN}
 382 objectClass: top
 383 objectClass: group
 384 description: Members are allowed to launch, activate and use Distributed COM objects on this machine.
 385 objectSid: S-1-5-32-562
 386 sAMAccountName: Distributed COM Users
 387 systemFlags: -1946157056
 388 groupType: -2147483643
 389 isCriticalSystemObject: TRUE
 390
 391 # Add well known security principals
 392
 393 dn: CN=WellKnown Security Principals,${CONFIGDN}
 394 objectClass: top
 395 objectClass: container
 396 systemFlags: -2147483648
 397
 398 dn: CN=Anonymous Logon,CN=WellKnown Security Principals,${CONFIGDN}
 399 objectClass: top
 400 objectClass: foreignSecurityPrincipal
 401 objectSid: S-1-5-7
 402
 403 dn: CN=Authenticated Users,CN=WellKnown Security Principals,${CONFIGDN}
 404 objectClass: top
 405 objectClass: foreignSecurityPrincipal
 406 objectSid: S-1-5-11
 407
 408 dn: CN=Batch,CN=WellKnown Security Principals,${CONFIGDN}
 409 objectClass: top
 410 objectClass: foreignSecurityPrincipal
 411 objectSid: S-1-5-3
 412
 413 dn: CN=Creator Group,CN=WellKnown Security Principals,${CONFIGDN}
 414 objectClass: top
 415 objectClass: foreignSecurityPrincipal
 416 objectSid: S-1-3-1
 417
 418 dn: CN=Creator Owner,CN=WellKnown Security Principals,${CONFIGDN}
 419 objectClass: top
 420 objectClass: foreignSecurityPrincipal
 421 objectSid: S-1-3-0
 422
 423 dn: CN=Dialup,CN=WellKnown Security Principals,${CONFIGDN}
 424 objectClass: top
 425 objectClass: foreignSecurityPrincipal
 426 objectSid: S-1-5-1
 427
 428 dn: CN=Digest Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 429 objectClass: top
 430 objectClass: foreignSecurityPrincipal
 431 objectSid: S-1-5-64-21
 432
 433 dn: CN=Enterprise Domain Controllers,CN=WellKnown Security Principals,${CONFIGDN}
 434 objectClass: top
 435 objectClass: foreignSecurityPrincipal
 436 objectSid: S-1-5-9
 437
 438 dn: CN=Everyone,CN=WellKnown Security Principals,${CONFIGDN}
 439 objectClass: top
 440 objectClass: foreignSecurityPrincipal
 441 objectSid: S-1-1-0
 442
 443 dn: CN=Interactive,CN=WellKnown Security Principals,${CONFIGDN}
 444 objectClass: top
 445 objectClass: foreignSecurityPrincipal
 446 objectSid: S-1-5-4
 447
 448 dn: CN=Local Service,CN=WellKnown Security Principals,${CONFIGDN}
 449 objectClass: top
 450 objectClass: foreignSecurityPrincipal
 451 objectSid: S-1-5-19
 452
 453 dn: CN=Network,CN=WellKnown Security Principals,${CONFIGDN}
 454 objectClass: top
 455 objectClass: foreignSecurityPrincipal
 456 objectSid: S-1-5-2
 457
 458 dn: CN=Network Service,CN=WellKnown Security Principals,${CONFIGDN}
 459 objectClass: top
 460 objectClass: foreignSecurityPrincipal
 461 objectSid: S-1-5-20
 462
 463 dn: CN=NTLM Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 464 objectClass: top
 465 objectClass: foreignSecurityPrincipal
 466 objectSid: S-1-5-64-10
 467
 468 dn: CN=Other Organization,CN=WellKnown Security Principals,${CONFIGDN}
 469 objectClass: top
 470 objectClass: foreignSecurityPrincipal
 471 objectSid: S-1-5-1000
 472
 473 dn: CN=Proxy,CN=WellKnown Security Principals,${CONFIGDN}
 474 objectClass: top
 475 objectClass: foreignSecurityPrincipal
 476 objectSid: S-1-5-8
 477
 478 dn: CN=Remote Interactive Logon,CN=WellKnown Security Principals,${CONFIGDN}
 479 objectClass: top
 480 objectClass: foreignSecurityPrincipal
 481 objectSid: S-1-5-14
 482
 483 dn: CN=Restricted,CN=WellKnown Security Principals,${CONFIGDN}
 484 objectClass: top
 485 objectClass: foreignSecurityPrincipal
 486 objectSid: S-1-5-12
 487
 488 dn: CN=SChannel Authentication,CN=WellKnown Security Principals,${CONFIGDN}
 489 objectClass: top
 490 objectClass: foreignSecurityPrincipal
 491 objectSid: S-1-5-64-14
 492
 493 dn: CN=Self,CN=WellKnown Security Principals,${CONFIGDN}
 494 objectClass: top
 495 objectClass: foreignSecurityPrincipal
 496 objectSid: S-1-5-10
 497
 498 dn: CN=Service,CN=WellKnown Security Principals,${CONFIGDN}
 499 objectClass: top
 500 objectClass: foreignSecurityPrincipal
 501 objectSid: S-1-5-6
 502
 503 dn: CN=Terminal Server User,CN=WellKnown Security Principals,${CONFIGDN}
 504 objectClass: top
 505 objectClass: foreignSecurityPrincipal
 506 objectSid: S-1-5-13
 507
 508 dn: CN=This Organization,CN=WellKnown Security Principals,${CONFIGDN}
 509 objectClass: top
 510 objectClass: foreignSecurityPrincipal
 511 objectSid: S-1-5-15
 512
 513 dn: CN=Well-Known-Security-Id-System,CN=WellKnown Security Principals,${CONFIGDN}
 514 objectClass: top
 515 objectClass: foreignSecurityPrincipal
 516 objectSid: S-1-5-18