グループポリシーで、アカウント管理の監査ログを有効にすればイベントログに出力されます。

びっくらさん

ご回答ありがとうございます。

確認ですが、そのログはADサーバに出力され
AD配下の例えばファイルサーバには出力されませんよね？

親会社がADサーバ（セカンダリなど含め）を握っていてログがなかなか確認できず。
配下のファイルサーバは自前なので確認できます。

はい、ご認識の通りドメインコントローラのイベントログに出力されます。

Domain Adminsの権限を持っているのであれば、ADを直接触らなくても適当なコンピュータのイベントビューワーから別のコンピュータへ接続をすれば見れると思います。

Sushi太郎さんがやりたいことは、ログを確認したいのではなくてセキュリティグループのメンバ変更されたことを知りたい、のでしょうか？

それであれば通常一般ユーザーでもセキュリティグループのメンバを読み取る権限は有ると思いますので、リアルタイムには難しいですがスクリプトなんかで拾ってきて中を確認するなどすればある程度わかるのではないかなと思いますがいかがでしょう。

親会社がADサーバ（セカンダリなど含め）を握っていてログがなかなか確認できず。
配下のファイルサーバは自前なので確認できます。

こういった条件は最初に書いていただけると遠回りしなくて済むのでよろしくお願いします（笑）