无法在dcpromo /forceremoval后从AD中删除DC

Question

很大程度上是我之前问过的这个问题的后续，这里。尝试进行元数据清理，但是每次我在违规的DC上单击delete时，都会被拒绝访问(在提示它是GC之后)。我还有别的办法可以把它移除吗？我没有检查OU域控制器上的“防止意外删除”选项，将自己添加为企业管理员(已经是域管理员)，并且通常将我的玩具从床上扔出。我是不是错过了一个显而易见的步骤？我认为元数据清理的第一个过程是删除帐户，然后清理指向DC的DNS和NTDS位。

编辑:所以看看NTDS配额，OU thorugh，我注意到有人添加了每个人--拒绝特殊权限--删除和删除子树。这是要配置的正常设置吗？

EDIT2:哦，等等，好多了。每个人都被分配了拒绝权限(对所有类型的属性)从teh域控制器OU中删除。我猜这不是AD的正常安全做法吧？

Answer 1

检查域控制器对象上的ACL，并确保域管理员和企业管理员具有适当的Full Control ACE。还要检查，以确保没有任何奇怪的否认ACEs。