Você provavelmente deseja ativar a auditoria de alterações no Active Directory e, quando isso ocorrer novamente, você poderá consultar a trilha de auditoria para ver quem ou o que fez a alteração. A política de grupo em que você está interessado é:
Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Audit Policy → Audit account management
Você pode definir um GPO na OU dos Controladores de domínio para ativar isso. Veja estes artigos para detalhes: