Очень похоже на то, что я задал ранее Вот. Пытаюсь выполнить очистку метаданных, но каждый раз, когда я нажимаю «Удалить» на неисправном контроллере домена, я получаю отказ в доступе (после запроса о том, что это GC). Есть ли другой способ удалить это? Я снял отметку с опции «защищать от случайного удаления» на контроллерах домена OU, добавил себя в качестве администратора предприятия (уже был администратором домена) и обычно выбросил свои игрушки из детской кроватки. Я где-то пропустил явно очевидный шаг? Я думал, что первым процессом очистки метаданных было удаление учетной записи, а затем пример очистки битов DNS и NTDS, указывающих на DC.
РЕДАКТИРОВАТЬ: Итак, глядя на NTDS Quotas OU через ADSIEdit, я заметил, что кто-то добавил Все - Запретить особые разрешения - Удалить и удалить поддерево. Это нормальная настройка?
EDIT2: Ой, подождите, станет лучше. Каждому были назначены разрешения Deny (для всех видов атрибутов) на удаление из OU контроллеров домена. Полагаю, это не обычная практика безопасности для AD?
Проверьте ACL на объекте контроллера домена и убедитесь, что администраторы домена и администраторы предприятия имеют соответствующие Full Control ACE. Также проверьте, нет ли каких-либо странных запрещающих ACE.