Я знаю, как проверить, какие объекты групповой политики применяются к системам и пользователям, но мне интересно, есть ли способ проверить, кто применил конкретный объект групповой политики?
Что означает, какой администратор установил GPO в консоли управления групповыми политиками? Вы можете использовать аудит, используя такие инструменты, как Netwrix или аналогичные, или можете, если развернете AGPM (https://technet.microsoft.com/en-us/windows/hh826067). Вы также можете убедиться, что аудит DS включен, и посмотреть на контроллер домена, на котором было внесено изменение (удачи!), И найти событие 566, как мне кажется.
Лично мне нравится вышеупомянутый сторонний инструмент, но он дорогой, поэтому подходит для более крупного магазина. Если у вас всего несколько контроллеров домена, вы можете настроить что-нибудь, чтобы предупреждать вас о событиях 566 записей на этих контроллерах домена, чего, вероятно, будет достаточно.