Estou trabalhando em algumas auditorias para PCI-DSS, principalmente "Auditoria de acesso ao serviço de diretório". Isso cria um grande volume de logs, principalmente com base em algumas propriedades recorrentes específicas acessadas da mesma maneira.
Consegui identificar esses atributos via TechNet. Nenhum dos que estou tendo problemas está visível na IU de auditoria em AD Users and Computers.
Estou pensando em editar as configurações do esquema no adsiedit e desabilitar a herança? Parece contra-intuitivo, mas deve funcionar.
O que você deseja é modificar o atributo searchFlags do atributo schema que precisa ter a auditoria suprimida.
Guia passo a passo de auditoria do AD DS
https://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
"Esquema
"Para evitar a possibilidade de gerar um número excessivo de eventos, existe um controle adicional no esquema que você pode usar para criar exceções ao que é auditado.
"Por exemplo, se você quiser ver quais valores foram alterados como resultado de todas as modificações de atributo em um objeto de usuário, exceto algumas, você pode definir um sinalizador no esquema para os atributos que não deseja auditar. A propriedade searchFlags de cada atributo define o comportamento, como se o atributo é indexado ou replicado para o catálogo global.A propriedade searchFlags tem sete bits atualmente definidos.
"Se o bit 8 (indexação baseada em zero, valor 256) for definido para um atributo, o AD DS não registrará eventos de alteração quando forem feitas modificações no atributo. Isso se aplica a todos os objetos que contêm esse atributo."