Как определить, был ли изменен пароль удаленно или на локальном ПК

Есть ПК с Windows 10 Enterprise, пароль которого был изменен (локальный администратор). Пользователь сообщил, что у него нет пароля администратора. Средство просмотра событий указывает время и дату, когда кажется, что пароль был изменен, когда пользователь вошел в систему.

1. Можно ли удаленно изменить пароль на его ПК?
2. Если этот пароль локального администратора был изменен из групповой политики, будет ли это по-прежнему означать, что пользователь изменил его? Как средство просмотра событий будет записывать события, которые выполняются с помощью групповой политики или запланированных задач?
3. Можно ли установить программное обеспечение удаленно с помощью таких инструментов, как psexec? Если он установлен, как об этом будет сообщено в средстве просмотра событий?
4. Можно ли удалить файлы журнала удаленно от имени пользователя (от другого человека, который является администратором)?

В конечном счете, я не хочу, чтобы этого сотрудника уволили за неверную информацию, и как исследователь безопасности я пытаюсь определить, могут ли быть какие-либо дополнительные факторы, которые могут дать этому сотруднику "преимущество сомнения" и найти способ, как это нарушение было выполнено без его ведома или его явных действий.