MSError Синхронизация времени в домене

Так, собственно моя история борьбы с этой штукой

Проблема возникла давно (года три назад), время расходилось на некоторых ПК аж на час, при этом kerberos ничуть не смущался и спокойно пускал куда надо. Когда начал лечение, делал по различным инструкциям при помощи GPO, программ NetTime, пытался указать насильно сервер обновления времени (роутер) и т.д. Понятно что некоторые варианты прокатывали, но под одной из статей я увидел гневный коммент пользователя, который сетовал на горе-админов, у которых руки из жопы и они настраивают время при помощи GPO. Распространение времени должно работать из коробки силами контроллера домена, единственная задача админа - настроить DC с ролью FSMO - PDC на получение времени снаружи.

MSError Не удалось запросить журнал событий DFS Replication на сервере

Банальная ошибка, решается также банально - проверь настройки брандмауэра:
Eng: Remote Event Log Management (RPC) и Remote Event Log Management (RPC-EPMAP)
Rus: Удаленное управление журналом событий (RPC) и Удаленное управление журналом событий (RPC-EPMAP)

В принципе оно не обязательно, т.к. запрашивает только лог, но я иногда смотрю журнал событий другого ПК через оснастку "Управление компьютером", поэтому в групповой политике FireWall добавил данные правила (предопределенные "Удаленное управление журналом")

MSError Некоторые подразделения (OU) в этом домене не защищены от случайного удаления.

Алерт ясен как божий день, но не ясно как определить проблемные OU и установить им автоматически параметр в Истину. Собственно для ручного варианта включаем дополнительные параметры и смотрим в свойствах OU

Для автоматического варианта (выполняется на контроллере домена через PowerShell)