Você pode revisar o log de eventos de segurança para saber a hora e a conta que está fazendo a alteração no evento 4738 com a auditoria adequada habilitada (diretiva de controladores de domínio padrão). Existe uma política de auditoria antiga / legada que pode estar em vigor se você ainda não ativou a política de Auditoria Avançada.
Velho
Políticas / Configurações do Windows / Configurações de segurança / Políticas locais / Política de auditoria
Gerenciamento de Contas de Auditoria: Sucesso
Auditoria de acesso ao serviço de diretório: sucesso
Nós temos os dois, acho que você só precisa do primeiro
Configuração avançada de auditoria
Gerenciamento de contas
Auditoria de Gerenciamento de Contas de Usuários: Sucesso
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 9/17/2015 3:29:03 PM
Event ID: 4738
Task Category: User Account Management
Level: Information
Keywords: Audit Success
User: N/A
Computer: dc99.acme.com
Description:
A user account was changed.
Subject:
Security ID: DOM\admin1
Account Name: admin1
Account Domain: DOM
Logon ID: 0x1155e950
Target Account:
Security ID: DOM\user1
Account Name: user1
Account Domain: DOM
Changed Attributes:
SAM Account Name: -
Display Name: -
User Principal Name: -
Home Directory: -
Home Drive: -
Script Path: -
Profile Path: -
User Workstations: barney
Password Last Set: -
Account Expires: -
Primary Group ID: -
AllowedToDelegateTo: -
Old UAC Value: -
New UAC Value: -
User Account Control: -
User Parameters: -
SID History: -
Logon Hours: -