Разберемся, как в доменной среде Active Directory по журналам контроллеров домена определить, кто из администраторов сбросил пароль учетной записи определенного пользователя. В первую очередь, в политиках домена нужно включить аудит событий управления учётными записями. Для этого: Откройте консоль управления групповыми политиками Group Policy Management (gpmc.msc) и отредактирует политику домена Default Domain Policy. Найдите и включите политику Audit User Account Management (если нужно фиксировать в журнале как успешные, та и неудачные попытки смены пароля, выберите опции Success и Failure)...

Путем настройки этих разделов GPO вы можете установить желаемые политики безопасности паролей в доменной среде Windows