У майкрософт есть SCOM в составе которого есть решение по сбору Security Logs. Собственно это как раз то что вам нужно. Ставите агентов SCOM на контроллеры домена, включаете лог форвардинг и с помощью SQL Report Services строите любые отчеты по действиям в AD.
