説明/参照：
Explanation:
Advanced Audit Policy Configurationの設定を使用する場合は、これらの設定が基本監査ポリシー設定によって上書きされないことを確認する必要があります。次の手順では、基本監査ポリシー設定のアプリケーションをブロックして競合を防止する方法を示します。
高度な監査ポリシーの構成の有効化
基本監査ポリシーと高度な監査ポリシーの構成を混在させないでください。そのため、監査：監査ポリシーサブカテゴリ設定（Windows Vista以降）を有効にして、グループポリシーの監査ポリシーカテゴリの設定を上書きして、基本監査が無効になっていることを確認することをお勧めします。この設定は、コンピュータの構成\ポリシー\セキュリティの設定\ローカルポリシー\セキュリティオプションにあります。SCENoApplyLegacyAuditPolicyレジストリキーを設定して、グループポリシーとローカルセキュリティポリシーMMCスナップインを使用して基本監査を適用しないようにします。
Windows 7およびWindows Server 2008 R2では、成功と失敗を追跡できる監査設定の数が53に増えました。以前は、Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \監査ポリシー。これらの53の新しい設定では、ほとんどまたはまったく関心のない動作、または過剰なログエントリを作成する動作に対して、監視結果を除外して監査結果を除外する動作のみを選択できます。また、Windows 7およびWindows Server 2008 R2のセキュリティ監査ポリシーはドメインのグループポリシーを使用して適用できるため、監査ポリシーの設定を比較的簡単に選択したユーザーおよびグループに変更、テスト、展開できます。
監査ポリシーの設定
ユーザーアカウントとリソースのアクセス許可の変更。

ユーザーログオンに失敗しました。

失敗したリソースへのアクセス。

システムファイルの変更。

高度な監査構成設定
正確に定義されたアクティビティを追跡することにより、重要なビジネス関連ルールやセキュリティ関連ルールの遵守を監査します。
グループ管理者は、財務情報を含むサーバーの設定やデータを変更しました。

定義されたグループ内の従業員が重要なファイルにアクセスしました。

正しいシステムアクセス制御リスト（SACL）は、すべてのファイルとフォルダまたはレジストリキーに適用されます。

コンピュータまたはファイル共有を、検出されないアクセスに対する検証可能な保護手段として使用します。
サーバーGPOでは、監査ポリシー設定を変更します。監査アカウント管理を有効にすると、アカウントの作成、削除などのイベントが生成されます。
高度な監査構成設定
高度な監査構成設定 - >監査ポリシー
- >アカウント管理 - >ユーザーアカウント管理の監査

サーバーGPOでは、監査ポリシー設定を変更します。監査アカウント管理を有効にすると、アカウントの作成、削除などのイベントが生成されます。

参照：
http://blogs.technet.com/b/abizerh/archive/2010/05/27/tracing-down-user-and-computer-account-deletion- in-active-directory.aspx
http://technet.microsoft.com/en-us/library/dd772623%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/jj852202(v=ws.10).aspx
http://www.petri.co.il/enable-advanced-audit-policy-configuration-windows-server.htm
http://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/dd408940%28v=ws.10%29.aspx#BKMK_step2