Bem, não posso dizer que o processo de restauração / reversão é tão fácil quanto você está procurando, mas para esse mesmo caso de uso básico acabei envolvendo alguns scripts em torno do comando ntdsutil snapshot , compactando você comprime, eles compactam muito bem) e arquivam os instantâneos em um dos controladores de domínio (eu sugeriria controle de versão, mas com os bancos de dados binários, não há muitos benefícios).
Quando algo explode, simplesmente retire o ntds.dit do arquivo compactado, inicie um ouvinte com dsamain e você pode acessar a versão antiga das coisas.
Agora, isso é o que eu levei até a automação - os problemas que eu usei são mais como "opa, nós dissemos que nós demitimos essa pessoa, era realmente essa outra pessoa", não , "oops, alguém executou um script que excluiu todos os membros do grupo de todos os que estão nessa OU" - mas, para mudanças em massa, você poderia definitivamente juntar algo que lesse do ouvinte dsamain e cuspir o que era diferente do ouvinte. e para pequenas mudanças sou um grande fã de poder comparar o antigo com o atual e consertar o que precisa ser corrigido diretamente.