O que significa o administrador definir um GPO no GPMC? Você pode com a auditoria, usando ferramentas como Netwrix ou similar, ou pode, se você implantar o AGPM ( link ). Você também pode ter certeza de que a auditoria do DS está ativada e procurar no DC a mudança foi feita para (boa sorte!) E encontrar o evento 566 eu acredito.
Pessoalmente, gosto da ferramenta de terceiros acima, mas é cara, por isso é para uma loja maior. Se você tiver apenas alguns CDs, você pode configurar algo para alertá-lo sobre as entradas do evento 566 nesses DCs, o que provavelmente seria suficiente.