O log de eventos de segurança no controlador de domínio em que a modificação ocorreu é o local para encontrar as informações que você está procurando, mas, infelizmente, não há auditoria suficiente ativada por padrão para fornecer as informações que você está procurando para. Em um cenário pós-fato como esse, você provavelmente está sem sorte se ainda não tiver a auditoria ativada. Para o futuro, considere ativar a auditoria para os tipos de eventos que lhe interessam.
Se você tiver a auditoria correta habilitada, talvez considere exportar o log de eventos para um formato XML ou de texto e vasculhar, pelo menos inicialmente, algo simples como findstr para localizar as entradas que precisam ser examinadas. Esteja ciente de que você precisa examinar o log de eventos de segurança em cada controlador de domínio (DC), já que a modificação pode ter sido feita em qualquer controlador de domínio e só seria registrada no controlador de domínio onde ocorreu a modificação.