Невозможно удалить DC из AD после dcpromo /forceremoval

Очень большое продолжение этого вопроса, который я задал ранее здесь. Пытаясь выполнить очистку метаданных, но каждый раз, когда я нажимаю "удалить" на неисправном контроллере домена, я получаю отказ в доступе (после запроса о том, что это GC). Есть ли другой способ, которым я могу удалить это? Я снял флажок "защита от случайного удаления" на контроллерах домена OU, добавил себя в качестве администратора предприятия (уже был администратором домена) и вообще выбросил свои игрушки из кроватки. Я где-то пропустил явно очевидный шаг? Я подумал, что первым процессом очистки метаданных было удаление учетной записи, а затем случай исправления битов DNS и NTDS, указывающих на DC.

РЕДАКТИРОВАТЬ: Итак, глядя на квоты NTDS OU thorgh ADSIEdit, я замечаю, что кто-то добавил Все - Запретить специальные разрешения - Удалить и удалить поддерево. Это нормальная настройка для настройки?

РЕДАКТИРОВАТЬ 2: Ой, подождите, это становится лучше. Каждому назначены разрешения Запретить (для всех видов атрибутов) для удаления из OU Domain Controllers. Я предполагаю, что это не нормальная практика безопасности для AD?