Verifique a ACL no objeto de controlador de domínio e verifique se os Administradores de domínio e os administradores de empresa têm o Full Control ACE apropriado. Além disso, certifique-se de que não haja nenhum ACE de negação estranha.
Muito a seguir esta pergunta que fiz antes aqui . Tentando passar pela limpeza de metadados, mas toda vez que eu clico em excluir no DC ofensivo, recebo um acesso negado (depois de solicitar que ele seja um GC). Existe alguma outra maneira que eu possa removê-lo? Desmarquei a opção "proteger contra exclusão acidental" nos Controladores de Domínio da UO, adicionei-me como um Administrador de Empresa (já era um Administrador de Domínio) e geralmente joguei meus brinquedos fora da cama. Eu perdi um passo claramente óbvio em algum lugar? Eu pensei que o primeiro processo de limpeza de metadados foi remover a conta e, em seguida, um caso de arrumar os bits DNS e NTDS que apontavam para o DC.
EDIT: Então, olhando para OU NTDS Quotas por ADSIEdit eu noto que alguém adicionou Todos - Negar Permissões Especiais - Excluir e Excluir subárvore. Esta é uma configuração normal para ter configurado?
EDIT2: Oh, espere, fica melhor. Todos foram atribuídos permissões Negar (para todos os tipos de atributos) para serem excluídos da UO Controladores de Domínio. Eu estou supondo que esta não é uma prática de segurança normal para o AD?