validando os campos do Active Directory após a criação e atualizações

Essa é realmente uma excelente pergunta. Esta é uma característica crítica dos bancos de dados "normais", chamados de restrições. Sem restrições, garantir a integridade, precisão e qualidade dos bancos de dados é mais difícil e demorado.

Alguns atributos já estão configurados dessa maneira. Por exemplo, o samAccountName deve existir e ser exclusivo no domínio.

Eu recomendaria não alterar um atributo do sistema de opcional para obrigatório, a menos que você se sinta muito à vontade com o nível de experiência do Active Directory e tenha sido totalmente testado nisto em um ambiente que não seja de produção.

Uma alternativa pode ser uma tarefa agendada que varre objetos para os campos em que a conformidade é desejada e realiza uma regex para determinar se eles estão em conformidade e salva isso como um relatório para distribuição à equipe que precisaria fazer quaisquer correções.

Se você tiver interesse nos detalhes do esquema e nos atributos obrigatórios, os itens a seguir podem ser úteis:

Como o esquema do Active Directory funciona
link

Modifique uma classe de esquema ou uma definição de atributo existente
link

Noções básicas sobre atributos exclusivos no Active Directory
link

Instale o snap-in Esquema do Active Directory
link

Este é um exemplo clássico de procurar uma solução técnica para um problema não técnico. Se os administradores não puderem seguir as diretrizes de criação de contas, remova os direitos deles para fazer isso.

Além disso, não acredito que você possa configurar um atributo a ser exigido por uma atualização de esquema. Se alguém tiver informações sobre como fazer isso, terei prazer em corrigir.