Проблема такая. На КД по удаленному рабочему столу имеет доступ только несколько человек.. Кто -то из этих несколько случайно или не знаю как кильнул пару машин из домена.. Никто не признается. Можно ли как то узнать историю удаления и добавления машин в домен..

Об этом свидетельствует событие в логе безопасности одного из КД за номером 4743
Если не найдете - уже не узнать

А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер

А для 2003 (он резервный кд)--- это актуально... я просто не нашел нигде этот номер »
Нет, для 2к3 это не актуально. У 2к3 ID равно 647

Спасибо ушел лог ...

Возможно он не включен в default domain controller policy, например
Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management

А как конкретно называется параметр

Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy\Account management »
Так и называется. Включаете регистрацию событий при success и failure попытках

Я просто по невнимательности не туда глянул

Аудит входа в систему Успех
Аудит доступа к объектам Нет аудита
Аудит доступа к службе каталогов Успех
Аудит изменения политики Успех
Аудит использования привилегий Нет аудита
Аудит отслеживания процессов Успех
Аудит системных событий Успех
Аудит событий входа в систему Успех
Аудит управления учетными записями Успех


Все ли включено

Аудит управления учетными записями Успех »
Ну да, значит логи "ушли"

А он должен быть в каком состоянии

А он должен быть в каком состоянии »
Кто "он"?

Аудит управления учетными записями
..

Ну у вас настроена регистрация событий управления УЗ при успешной попытке.
Если например кто-то попытается удалить УЗ и у него, например, не хватит прав на это - то у вас это событие не зарегистрируется. Чтобы такие попытки регистрировались нужно поставить галку "отказ"
По поводу "должен" - собственно как вам нужно так и настраивайте - на остальной функционал системы это никак не влияет