Se você tiver a auditoria ativada para atividades de gerenciamento de contas com antecedência. Mais sobre como fazer isso aqui: link
Título praticamente diz tudo. Estou tentando descobrir como e quando um usuário específico foi desativado.
Se você tiver a auditoria ativada para atividades de gerenciamento de contas com antecedência. Mais sobre como fazer isso aqui: link
Estou assumindo que você está usando o Windows Server 2008 com o Active Directory.
Você pode descobrir quem desabilitou um usuário verificando o Visualizador de Eventos no Controlador de Domínio (painel de controle > ferramentas administrativas > visualizador de eventos) e examinando o Registro de Eventos de Segurança. Verifique se há eventos com fonte "Auditoria de segurança do Microsoft Windows" e ID "5136". Nos detalhes do evento, você pode encontrar o DN do usuário que foi desativado junto com a data e a hora da operação.
Tags windows-server