Если компьютер удален из AD (но не отключен от домена), создается ли какой-либо файл журнала / запись?
Если да, то где он будет расположен и как мы можем получить к нему доступ?
Файлы журнала, нет. Тем не менее, практически все можно проверить, это дело гвоздя, что включить (попробуйте Account Management). После включения отслеживаемые события будут отображаться в журналах событий DC. Однако на самом деле аудит Windows создает множество событий, большинство из которых довольно низкоуровневые с точки зрения повествования, сопровождающего событие. Однако, если вы проведете некоторое тестирование, вы, надеюсь, сможете точно определить интересующие вас события аудита.
Судя по вашему комментарию, вы случайно удалили учетную запись компьютера из AD (компьютер все еще «присоединен» к домену, его объект учетной записи просто исчез).
Если это так, вы не в ужасной форме - если вы погуглите, то найдете много информации о том, как исправить эту ошибку.
Если вы используете Windows 2008 R2 или более позднюю версию, вы даже можете использовать Корзина AD, что является относительно безболезненным способом исправить ошибку такого рода.
Что касается ведения журнала, то, как сказал Саймон Кэтлин, можно проверить все, что угодно. Однако вам необходимо настроить этот аудит в своей системе. На эту тему в TechNet опубликовано множество статей (вот этот хорошее место для начала).
Нашли именно то, что мы искали с точки зрения аудита, на случай, если кто-то еще столкнется с этой проблемой. Это параметр, который необходимо активировать в AD, чтобы соответствующая информация регистрировалась. Спасибо всем за помощь!!!
http://technet.microsoft.com/en-us/library/cc731764(v=ws.10).aspx
На клиентской машине, если вы посмотрите c: \ windows \ debug \ netsetup.log, вы увидите события для присоединения / удаления машины из домена.