A engenharia reversa do script fornece algumas dicas sobre o que ele faz, mas, em última análise, o comportamento que ele tenta invocar ocorre dentro da "caixa preta" do código do controlador de domínio do Active Directory, portanto, a solução de problemas será difícil ( a menos que você tenha acesso ao código fonte do AD ... > sorria <).
Essencialmente, o script prepara o domínio para uma chamada runSamUpgradeTasks , então executa-o. Isso envolve acrescentar um valor ao atributo otherWellKnownObjects do objeto "CN = Server, CN = Sistema. DC = domain ..." no diretório e, em seguida, fazer uma chamada LDAP para modificar o atributo runSamUpgradeTasks. Isso é supostamente para acionar o controlador de domínio W2K8 para criar automaticamente seus grupos e usuários padrão no diretório e, como tal, fazer com que a conta e o grupo ausentes sejam criados.
Eu sou um pouco duvidoso do script porque a referência runSamUpgradeTasks solicita que o balue seja anexado ao atributo otherWellKnownObjects para terminar com "...: X", enquanto o script não faz isso. Mesmo assim, você indica que o grupo "IIS_IUSRS" foi criado, o que significa que, presumivelmente, o W2K8 DC "recebeu a mensagem" e criou grupos.
Esse é bastante confuso e eu gostaria de ir para o Atendimento Microsoft nele. Você não vai gastar muito dinheiro, mas dada a estranheza do comportamento que você está vendo, eles provavelmente são as melhores pessoas do planeta para ajudá-lo.