Sé cómo verificar qué GPO se aplican en sistemas y usuarios, pero me pregunto: ¿hay alguna manera de verificar quién aplicó un GPO específico?
Respuesta1
¿Es decir, qué administrador configuró un GPO en GPMC? Puede hacerlo con auditoría, utilizando herramientas como Netwrix o similares, o puede hacerlo si implementa AGPM (https://technet.microsoft.com/en-us/windows/hh826067). También puede asegurarse de que la auditoría de DS esté habilitada y buscar en el DC en el que se realizó el cambio (¡buena suerte!) y encontrar el evento 566, creo.
Personalmente, me gusta la herramienta de terceros anterior, pero es cara, por lo que es para un taller más grande. Si solo tiene unos pocos DC, puede configurar algo que le avise de las entradas del evento 566 en esos DC, lo que probablemente sería suficiente.