Отследить создание, удаление групп AD, добавления/удаления пользователей в группах:
GPO: Default Domain Controller Policy
Computer Configuration→ Policies→ Windows Settings→ Security Settings→ Advanced Settings Audit Policy→ Audit Policy → Account Management → Audit Security Group Management
Для просмотра изменений по группам AD в Windows Event Viewer создаем Create Custom View:
By log: Security
Includes / Excludes Event Ids: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737 , 4754, 4755, 4756, 4757, 4758, 4764
http://winitpro.ru/index.php/2015/01/30/otslezhivanie-izmenenij-v-gruppax-active-directory/