De usuários e grupos do Windows Active Directory. Posso ver quando um usuário ou grupo foi modificado. De System Internals também posso ver quando foi criado. Existe uma maneira de saber qual usuário criou o objeto ou qual usuário ou processo realmente o desativou?
Neste caso em particular, foi criado há mais de um ano e modificado pela última vez há algumas semanas.
Você precisa habilitar o log de auditoria nas configurações de segurança e verificar eventos
As teclas Subject* informam a conta que solicitou a alteração.
Existem mais alguns logs de eventos que você deve assistir, não vou listá-los aqui. Você encontrará uma lista completa aqui: