Windowsは、どの管理ドメインユーザーがイベントを承認したかを記録しますか

たとえば、標準ユーザーが管理者権限を必要とするソフトウェアインストールを実行する場合、管理者の資格情報を使用してアクションを承認する必要があります。では、WindowsまたはActive Directoryは、インストールの許可に使用された管理者アカウントのログを保持しますか？もしそうなら、どこで情報を入手しますか？

注：Active DirectoryサービスはWindows Server 2008で実行されており、クライアントは主にWindows 10 Proです

Uac監査は、Windowsポリシー（ローカル\グループ）を変更することにより行われます。対象のポリシーは、コンピューターの構成\ポリシー\ Windowsの設定\セキュリティの設定\ローカルポリシー\監査ポリシーにあります。

特権の使用の監査では、システムイベントログのUACのagreement.exeダイアログボックスを使用して、昇格した使用に関する情報が提供されます。これによって作成されたイベントID：4648および4624。

プロセス追跡の監査は、プロセスとその作成/終了に関する情報を提供します。これによって作成されたイベントID：4688。

また、イベントID 4696を見て、新しいトークン（ユーザーログオンハンドル）がいつプロセスに割り当てられたかを確認します。これらのすべてのイベントを使用して、UACダイアログで昇格された権限を要求したすべてのプロセスのタイムラインの明確な画像を取得できます。