Eu sei como verificar quais GPOs são aplicados em sistemas e usuários, mas estou pensando: existe uma maneira de verificar quem aplicou um GPO específico?
Responder1
Significa qual administrador definiu um GPO no GPMC? Você pode fazer isso com auditoria, usando ferramentas como Netwrix ou similares, ou se você implantar o AGPM (https://technet.microsoft.com/en-us/windows/hh826067). Você também pode certificar-se de que a auditoria do DS está habilitada e verificar o DC em que a alteração foi feita (boa sorte!) E encontrar o evento 566, acredito.
Pessoalmente, gosto da ferramenta de terceiros acima, mas é cara, por isso é para uma loja maior. Se você tiver apenas alguns DCs, poderá configurar algo para alertá-lo sobre entradas do evento 566 nesses DCs, o que provavelmente seria suficiente.