Фильтр событий создания, удаления, изменения членства в группах и т. д. в журнале безопасности контроллера домена.
Фильтруем по следующим номерам событий: 632,636,4732,660,4756,4727,4728,4729,4730 Также, в связи с тем, что полученное имя измененного объекта, отображается в виде GUID, нужно его конвертировать в DISPLAY NAME. Вот пример кода для PowerShell: (New-Object DirectoryServices.DirectorySearcher -Property @{Filter = ‘CN={6AC1786C-016F-11D2-945F-00C04FB984F9}’}).FindOne().properties.displayname