Параметр «Вход в Active Directory в…» продолжает сбрасывать Windows Server 2012

Вы можете просмотреть журнал событий безопасности, чтобы узнать время и учетную запись, в которой были внесены изменения в событие 4738 с включенным надлежащим аудитом (политика контроллеров домена по умолчанию). Существует старая / устаревшая политика аудита, которая может применяться, если вы еще не включили политику расширенного аудита.

Старый
Политики / Параметры Windows / Параметры безопасности / Локальные политики / Политика аудита
Аудит управления учетной записью: успех
Аудит доступа к службе каталогов: успех
У нас есть оба, я думаю, вам нужен только первый

Расширенная конфигурация аудита
Управление аккаунтом
Аудит управления учетными записями пользователей: успех

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          9/17/2015 3:29:03 PM
Event ID:      4738
Task Category: User Account Management
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      dc99.acme.com
Description:
A user account was changed.

Subject:
    Security ID:        DOM\admin1
    Account Name:       admin1
    Account Domain:     DOM
    Logon ID:       0x1155e950

Target Account:
    Security ID:        DOM\user1
    Account Name:       user1
    Account Domain:     DOM

Changed Attributes:
    SAM Account Name:   -
    Display Name:       -
    User Principal Name:    -
    Home Directory:     -
    Home Drive:     -
    Script Path:        -
    Profile Path:       -
    User Workstations:  barney
    Password Last Set:  -
    Account Expires:        -
    Primary Group ID:   -
    AllowedToDelegateTo:    -
    Old UAC Value:      -
    New UAC Value:      -
    User Account Control:   -
    User Parameters:    -
    SID History:        -
    Logon Hours:        -