8
DC wurde einfach entfernt ohne dcpromo
Hey Leute,
ich hoffe hier sind ein paar Leute die mir helfen können.
wir haben haben eine Gesamtstruktur mit einer Oberdomäne darunter haben wir noch einige Domänen. So sieht das aus: Die Hauptdomäne.de dadrunter dann Domäne1.au, Domäne2.ch usw. Jetzt hat ein Admin einen DC aus einen dieser Unterdomänen einfach gelöscht ohne den mit dcpromo zu entfernen. Es sind zwar noch weiter DC's in der Domäne vorhanden auch mit Globalen Kataloge drauf, jedoch war auf dem entfernten Server auch ein globaler Katalog drauf. Gibt es vielleicht ein Howto oder hat jemand da Erfahrungenwie ich sauber die Reste entfernen kann?
Ich meine unter Active Directory Standorte und Dienste ist der Server noch zusehen.
VG an alle
ich hoffe hier sind ein paar Leute die mir helfen können.
wir haben haben eine Gesamtstruktur mit einer Oberdomäne darunter haben wir noch einige Domänen. So sieht das aus: Die Hauptdomäne.de dadrunter dann Domäne1.au, Domäne2.ch usw. Jetzt hat ein Admin einen DC aus einen dieser Unterdomänen einfach gelöscht ohne den mit dcpromo zu entfernen. Es sind zwar noch weiter DC's in der Domäne vorhanden auch mit Globalen Kataloge drauf, jedoch war auf dem entfernten Server auch ein globaler Katalog drauf. Gibt es vielleicht ein Howto oder hat jemand da Erfahrungenwie ich sauber die Reste entfernen kann?
Ich meine unter Active Directory Standorte und Dienste ist der Server noch zusehen.
VG an alle
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 175127
Url: https://administrator.de/contentid/175127
Printed on: April 24, 2024 at 16:04 o'clock
8 Comments
Latest comment
Moin
Welche Serverversion ?
Welche Serverversion ?
Servus,
bitte den folgenden Artikel *komplett* lesen! Darin wird das entfernen eines DCs aus den Metadaten des AD für *alle* Serverversionen beschrieben.
[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Ab Windows Server 2008 kannst du den DC über die GUI und unter Windows 2000 und Windows Server 2003 mit NTDSUTIL aus den Metadaten des AD entfernen.
Viele Grüße
/ > Yusuf Dikmenoglu
bitte den folgenden Artikel *komplett* lesen! Darin wird das entfernen eines DCs aus den Metadaten des AD für *alle* Serverversionen beschrieben.
[LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen]
http://blog.dikmenoglu.de/Die+Metadaten+Des+Active+Directory+Unter+Wind ...
Ab Windows Server 2008 kannst du den DC über die GUI und unter Windows 2000 und Windows Server 2003 mit NTDSUTIL aus den Metadaten des AD entfernen.
Viele Grüße
/ > Yusuf Dikmenoglu
Hier mal ne Anleitung die ich zusammengeschireben habe:
FSMO-Rollen übertragen, bzw. übernehmen
Übertragen von FSMO-Funktionen
Gehen Sie folgendermaßen vor, um die FSMO-Funktionen mithilfe des Programms "Ntdsutil" zu übertragen:
Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übertragen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
Geben Sie roles ein, und drücken Sie die EINGABETASTE.
Hinweis Geben Sie in eine der Eingabeaufforderungen des Programms "Ntdsutil" ? ein, und drücken Sie dann die EINGABETASTE, um eine Liste der verfügbaren Befehle anzeigen zu lassen.
Geben Sie connections ein, und drücken Sie die EINGABETASTE.
Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
Geben Sie transfer Funktion ein, wobei Funktion für die Funktion steht, die Sie übertragen möchten. Um eine Liste der übertragbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance: den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise transfer rid master ein, um die RID-Master-Funktion zu übertragen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax transfer pdc und nicht transfer pdc emulator.
Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.
Übernehmen von FSMO-Funktionen
Gehen Sie folgendermaßen vor, um die FSMO-Funktionen mithilfe des Programms "Ntdsutil" zu übernehmen:
Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übernommen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
Geben Sie roles ein, und drücken Sie die EINGABETASTE.
Geben Sie connections ein, und drücken Sie die EINGABETASTE.
Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
Geben Sie seize Funktion ein, wobei Funktion für die Funktion steht, die Sie übernehmen möchten. Um eine Liste der übernehmbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise seize rid master ein, um die RID-Master-Funktion zu übernehmen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax seize pdc und nicht seize pdc emulator.
Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.
Hinweise
Unter typischen Bedingungen müssen alle fünf Funktionen aktiven Domänencontrollern in der Gesamtstruktur zugewiesen werden. Wird ein Domänencontroller, der Inhaber von FSMO-Funktionen ist, vor der Übertragung seiner Funktionen außer Betrieb genommen, müssen dessen Funktionen durch einen geeigneten und fehlerfreien Domänencontroller übernommen werden. Microsoft empfiehlt, nur dann alle Funktionen zu übernehmen, wenn der ursprüngliche Domänencontroller nicht zu einem späteren Zeitpunkt wieder Mitglied der Domäne werden wird. Falls möglich, beheben Sie die Fehlfunktion des Domänencontrollers, dem die FSMO-Funktionen zugewiesen sind. Legen Sie fest, welche Funktion von welchem der verbleibenden Domänencontroller ausgeübt werden soll, damit alle fünf Funktionen jeweils einem Domänencontroller zugewiesen werden. Weitere Informationen zur Verteilung von FSMO-Funktionen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
223346 (http://support.microsoft.com/kb/223346/) ) FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern
Wenn der Domänencontroller, der zuvor Inhaber von FSMO-Funktionen war, nicht mehr in der Domäne vorhanden ist und seine Funktionen mittels der oben in diesem Artikel beschriebenen Schritte übernommen wurden, entfernen Sie ihn aus Active Directory. Gehen Sie hierzu gemäß den Anweisungen im folgenden Artikel der Microsoft Knowledge Base vor:
216498 (http://support.microsoft.com/kb/216498/) ) Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
Durch das Entfernen der Metadaten eines Domänencontrollers mit der Windows 2000-Version oder der Windows Server 2003-Version (Build 3790) des Befehls ntdsutil /metadata cleanup werden keine FSMO-Funktionen neu zugewiesen, die aktiven Domänencontrollern zugewiesen sind. Die in Windows Server 2003 Service Pack 1 (SP1) enthaltene Version des Hilfsprogramms "Ntdsutil" automatisiert diesen Vorgang und entfernt zusätzliche Elemente der Metadaten von Domänencontrollern.
Einige Kunden ziehen es vor, Systemstatus-Sicherungskopien von FSMO-Rolleninhabern nicht wiederherzustellen, wenn die Funktion seit der Erstellung der Sicherungskopie neu zugewiesen worden ist.
Weisen Sie die Funktion des Infrastrukturmasters und den globalen Katalog nicht demselben Domänencontroller zu. Wenn der Infrastrukturmaster auf einem Server für den globalen Katalog ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da der Infrastrukturmaster keine Verweise auf Objekte speichert, die er nicht enthält. Das liegt daran, dass der Server für den globalen Katalog eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat.
So testen Sie, ob ein Domänencontroller auch als Server für den globalen Katalog fungiert:
Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Standorte und -Dienste.
Doppelklicken Sie im linken Fensterbereich auf Standorte, und suchen Sie dann den entsprechenden Standort, oder klicken Sie auf Standardname-des-ersten-Standorts, falls keine anderen Standorte verfügbar sind.
Öffen Sie den Ordner "Server", und klicken Sie dann auf den Domänencontroller.
Doppelklicken Sie im Ordner des Domänencontrollers auf NTDS-Einstellungen.
Klicken Sie im Menü Vorgang auf Eigenschaften.
Überprüfen Sie auf der Registerkarte Allgemein, ob das Kontrollkästchen Globaler Katalog aktiviert ist.
FSMO-Rollen übertragen, bzw. übernehmen
Übertragen von FSMO-Funktionen
Gehen Sie folgendermaßen vor, um die FSMO-Funktionen mithilfe des Programms "Ntdsutil" zu übertragen:
Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übertragen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
Geben Sie roles ein, und drücken Sie die EINGABETASTE.
Hinweis Geben Sie in eine der Eingabeaufforderungen des Programms "Ntdsutil" ? ein, und drücken Sie dann die EINGABETASTE, um eine Liste der verfügbaren Befehle anzeigen zu lassen.
Geben Sie connections ein, und drücken Sie die EINGABETASTE.
Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
Geben Sie transfer Funktion ein, wobei Funktion für die Funktion steht, die Sie übertragen möchten. Um eine Liste der übertragbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance: den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise transfer rid master ein, um die RID-Master-Funktion zu übertragen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax transfer pdc und nicht transfer pdc emulator.
Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.
Übernehmen von FSMO-Funktionen
Gehen Sie folgendermaßen vor, um die FSMO-Funktionen mithilfe des Programms "Ntdsutil" zu übernehmen:
Melden Sie sich bei einem Mitgliedsserver oder Domänencontroller mit dem Betriebssystem Windows 2000 Server oder Windows Server 2003 an, der zu der Gesamtstruktur gehört, in der die FSMO-Funktionen übernommen werden sollen. Empfohlen wird, sich bei dem Domänencontroller anzumelden, dem Sie die FSMO-Funktionen zuweisen möchten. Der angemeldete Benutzer sollte eine Mitglied der Gruppe "Organisationsadministratoren" sein, um die Funktionen "Schemamaster" oder "Domänennamen-Master" zu übertragen, bzw. ein Mitglied der Gruppe "Domänenadministratoren" in der Domäne, in der die Funktionen "PDC-Emulator", "RID-Master" und "Infrastrukturmaster" übertragen werden sollen.
Klicken Sie auf Start und dann auf Ausführen, geben Sie ntdsutil in das Feld Öffnen ein, und klicken Sie anschließend auf OK.
Geben Sie roles ein, und drücken Sie die EINGABETASTE.
Geben Sie connections ein, und drücken Sie die EINGABETASTE.
Geben Sie connect to server Servername ein (wobei Servername für den Namen des Domänencontrollers steht, dem Sie die FSMO-Funktion zuweisen möchten), und drücken Sie dann die EINGABETASTE.
Geben Sie in die Eingabeaufforderung server connections den Befehl q ein, und drücken Sie dann die EINGABETASTE.
Geben Sie seize Funktion ein, wobei Funktion für die Funktion steht, die Sie übernehmen möchten. Um eine Liste der übernehmbaren Funktionen angezeigt zu bekommen, geben Sie in der Eingabeaufforderung fsmo maintenance den Befehl ? ein, und drücken Sie dann die EINGABETASTE, oder sehen Sie sich die Liste am Anfang dieses Artikels an. Geben Sie beispielsweise seize rid master ein, um die RID-Master-Funktion zu übernehmen. Eine Ausnahme gilt für die Funktion des PDC-Emulators. Hier lautet die Syntax seize pdc und nicht seize pdc emulator.
Geben Sie in die Eingabeaufforderung fsmo maintenance den Befehl q ein, und drücken Sie dann die EINGABETASTE, um Zugriff auf die Eingabeaufforderung ntdsutil zu erhalten. Geben Sie q ein, und drücken Sie dann die EINGABETASTE, um das Hilfsprogramm "Ntdsutil" zu beenden.
Hinweise
Unter typischen Bedingungen müssen alle fünf Funktionen aktiven Domänencontrollern in der Gesamtstruktur zugewiesen werden. Wird ein Domänencontroller, der Inhaber von FSMO-Funktionen ist, vor der Übertragung seiner Funktionen außer Betrieb genommen, müssen dessen Funktionen durch einen geeigneten und fehlerfreien Domänencontroller übernommen werden. Microsoft empfiehlt, nur dann alle Funktionen zu übernehmen, wenn der ursprüngliche Domänencontroller nicht zu einem späteren Zeitpunkt wieder Mitglied der Domäne werden wird. Falls möglich, beheben Sie die Fehlfunktion des Domänencontrollers, dem die FSMO-Funktionen zugewiesen sind. Legen Sie fest, welche Funktion von welchem der verbleibenden Domänencontroller ausgeübt werden soll, damit alle fünf Funktionen jeweils einem Domänencontroller zugewiesen werden. Weitere Informationen zur Verteilung von FSMO-Funktionen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
223346 (http://support.microsoft.com/kb/223346/) ) FSMO-Platzierung und -Optimierung auf Active Directory-Domänencontrollern
Wenn der Domänencontroller, der zuvor Inhaber von FSMO-Funktionen war, nicht mehr in der Domäne vorhanden ist und seine Funktionen mittels der oben in diesem Artikel beschriebenen Schritte übernommen wurden, entfernen Sie ihn aus Active Directory. Gehen Sie hierzu gemäß den Anweisungen im folgenden Artikel der Microsoft Knowledge Base vor:
216498 (http://support.microsoft.com/kb/216498/) ) Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
Durch das Entfernen der Metadaten eines Domänencontrollers mit der Windows 2000-Version oder der Windows Server 2003-Version (Build 3790) des Befehls ntdsutil /metadata cleanup werden keine FSMO-Funktionen neu zugewiesen, die aktiven Domänencontrollern zugewiesen sind. Die in Windows Server 2003 Service Pack 1 (SP1) enthaltene Version des Hilfsprogramms "Ntdsutil" automatisiert diesen Vorgang und entfernt zusätzliche Elemente der Metadaten von Domänencontrollern.
Einige Kunden ziehen es vor, Systemstatus-Sicherungskopien von FSMO-Rolleninhabern nicht wiederherzustellen, wenn die Funktion seit der Erstellung der Sicherungskopie neu zugewiesen worden ist.
Weisen Sie die Funktion des Infrastrukturmasters und den globalen Katalog nicht demselben Domänencontroller zu. Wenn der Infrastrukturmaster auf einem Server für den globalen Katalog ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da der Infrastrukturmaster keine Verweise auf Objekte speichert, die er nicht enthält. Das liegt daran, dass der Server für den globalen Katalog eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat.
So testen Sie, ob ein Domänencontroller auch als Server für den globalen Katalog fungiert:
Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie anschließend auf Active Directory-Standorte und -Dienste.
Doppelklicken Sie im linken Fensterbereich auf Standorte, und suchen Sie dann den entsprechenden Standort, oder klicken Sie auf Standardname-des-ersten-Standorts, falls keine anderen Standorte verfügbar sind.
Öffen Sie den Ordner "Server", und klicken Sie dann auf den Domänencontroller.
Doppelklicken Sie im Ordner des Domänencontrollers auf NTDS-Einstellungen.
Klicken Sie im Menü Vorgang auf Eigenschaften.
Überprüfen Sie auf der Registerkarte Allgemein, ob das Kontrollkästchen Globaler Katalog aktiviert ist.
super vielen Dank Leute,
hat fast funktioniert Laut der Anleitung sollte es unter Win2008 mit Active Directory-Standorte und -Dienste einfach zu löschen seien.
Leider ging dies bei mir nicht. Habe eine Fehlermeldung bekommen das es wohl wegen dem Löschen aus versehen nicht geht. Obwohl die Funktion nicht eingehackt war.
Mit ntdsutil gig aber alles
hat fast funktioniert Laut der Anleitung sollte es unter Win2008 mit Active Directory-Standorte und -Dienste einfach zu löschen seien.
Leider ging dies bei mir nicht. Habe eine Fehlermeldung bekommen das es wohl wegen dem Löschen aus versehen nicht geht. Obwohl die Funktion nicht eingehackt war.
Mit ntdsutil gig aber alles
Hi homermg,
Grüße
Mit ntdsutil gig aber alles
dann darfst du jetzt den grünen Haken setzen ... How can I mark a post as solved?Grüße
Hi Connor1980,
sorry habe mich falsch ausgedrückt. Mit ntdsutil wurde zwar der Server unter dem Standort gelöscht aber der Standort an sich ist noch da. Denn kann ich auch mit Rechtsklick löschen nicht entfernen. Da kommt eine Fehlermeldung.
Sie sind nicht dazu berechtigt, 'DomäneXY" zu löschen, oder dieses Objekt ist vor versehntlichen Löschen geschützt.
Wenn ich aber Unterhalb von dem Standort in die NTDS Site Settings gehe sehe ich das der Hacken meim "Objekt vor zufälligem Löschen schützen" nicht eingehackt ist. Ich habe das schon unter dem Admin Account gemacht.
Hat jemand eine Idee wie ich das Objekt suaber rausbekomme?
VG an alle
sorry habe mich falsch ausgedrückt. Mit ntdsutil wurde zwar der Server unter dem Standort gelöscht aber der Standort an sich ist noch da. Denn kann ich auch mit Rechtsklick löschen nicht entfernen. Da kommt eine Fehlermeldung.
Sie sind nicht dazu berechtigt, 'DomäneXY" zu löschen, oder dieses Objekt ist vor versehntlichen Löschen geschützt.
Wenn ich aber Unterhalb von dem Standort in die NTDS Site Settings gehe sehe ich das der Hacken meim "Objekt vor zufälligem Löschen schützen" nicht eingehackt ist. Ich habe das schon unter dem Admin Account gemacht.
Hat jemand eine Idee wie ich das Objekt suaber rausbekomme?
VG an alle
Hi,
so ganz spontan .. nö, dafür würde ich mal Yusufs Blog anpeilen und durchstöbern, oder das Technet.
Grüße
so ganz spontan .. nö, dafür würde ich mal Yusufs Blog anpeilen und durchstöbern, oder das Technet.
Grüße
Hallo,
der Haken "vor zufälligem löschen setzen" tut nichts anderes als die ACL der Ou bearbeiten und dort den Haken "verweigert" bei löschen zu setzen. Schau dir mal die ACL an, ob da irgendetwas steht, was dir das löschen verbietet...
Grüße und schönen Abend
der Haken "vor zufälligem löschen setzen" tut nichts anderes als die ACL der Ou bearbeiten und dort den Haken "verweigert" bei löschen zu setzen. Schau dir mal die ACL an, ob da irgendetwas steht, was dir das löschen verbietet...
Grüße und schönen Abend
