Cómo detectar quién agregó un usuario al grupo Administradores de dominio

Pasos para activar la auditoría mediante la Consola de administración de directiva de grupo (GPMC, Group Policy Management Console):

Realice las siguientes acciones en el controlador de dominio (DC):

1. Presione en Inicio y, a continuación, busque y abra la Consola de administración de directiva de grupo o ejecute el comando gpmc.msc.

2. Haga clic con el botón derecho en el dominio o unidad organizativa (UO) que desea auditar y haga clic en Crear una GPO en este dominio y vincúlela aquí... Si ya ha creado un objeto de directiva de grupo (GPO), vaya al paso 4.

3. Asigne un nombre a la GPO.
4. Haga clic con el botón derecho en la GPO y elija Editar.

5. En el panel izquierdo de la Editor de administración de directivas de grupo, navegue hasta Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad → Directivas locales → Directiva de auditoría.

6. En el panel derecho, verá una lista de directivas en Directiva de auditoría. Haga doble clic en Directivas de cuenta y marque las casillas junto a Defina esta configuración de la directiva, Éxitoy Error.

7. Haga clic en Aplicar, luego en Aceptar.
8. Vuelva a la sección Consola de administración de directiva de grupoy, en el panel izquierdo, haga clic con el botón derecho en el icono UO en el que se vinculó la GPO y haga clic en Actualizar directiva de grupo. Este paso garantiza que la nueva configuración de la directiva de grupo se aplique instantáneamente en lugar de esperar la próxima actualización programada.

Una vez activada esta directiva, siempre que se agregue un usuario al grupo habilitado para seguridad, se registrarán los eventos correspondientes en la categoría de registro de seguridad del DC.

Pasos para ver estos eventos usando el Visor de eventos

Una vez que se completen los pasos anteriores, los eventos se almacenarán en el registro de eventos. Esto se puede ver en el Visor de eventos siguiendo los pasos que se indican a continuación:

1. Presione en Inicio, busque el Visor de eventosy haga clic para abrirlo.
2. En el panel izquierdo de la ventana Visor de eventos, vaya a Registros de Windows → Seguridad.
3. Aquí encontrará una lista de todos los eventos de seguridad que se registran en el sistema.

4. En el panel derecho, en Seguridad, haga clic en Filtrar registro actual.

5. En la ventana emergente, ingrese 4728 en el campo denominado <Todos los ID de eventos>.
6. Haga clic en Aceptar. Esto proporcionará una lista de ocurrencias del ID del evento 4728, que se registra cuando se agregue un nuevo usuario a un grupo de seguridad.
7. Haga doble clic en el ID del Evento para ver sus propiedades (descripción). Busque Administradores de dominio debajo del Nombre del grupo en la descripción.

La sección etiquetada Sujeto muestra quién agregó el nuevo usuario. 
La sección etiquetada Miembro muestra el nombre y el SID del nuevo usuario que se agregó al grupo.

Este método es agotador ya que hay que ver la descripción de cada evento para encontrar el que pertenece al grupo de Administradores de dominio.

ADAudit Plus, una herramienta optimizada de auditoría de AD, permite a los administradores auditar sin esfuerzo los cambios en la membresía a grupos de seguridad y otra información de gestión de grupos.