Идентификатор события для переименования домена Active Directory

Что касается того, что произошло переименование домена, то да.

Event ID: 1875
Level:    Warning
Source:   ActiveDirectory_DomainService
Log:      Directory Service
Active Directory Domain Services has detected that the replication 
epoch (as indicated by the msDS-ReplicationEpoch attribute of the following object) 
of the local domain controller has been changed. 
This typically occurs as part of the domain rename process. 

Object: 
CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com 
Old replication epoch: 
0 
New replication epoch: 
1  

As a result, replication between this domain controller and domain controllers 
that are using the old replication epoch is no longer allowed. Replication can 
occur only with those domain controllers using the new replication epoch.

Event ID: 1882
Level:    Information
Source:   ActiveDirectory_DomainService
Log:      Directory Service

Active Directory Domain Services is shutting down the system to 
complete the domain rename operation.

Что касается просмотра ВОЗ сделал это ... это немного сложнее. Надеюсь, у вас есть лишь небольшая горстка людей, которые мог сделали это. По сути, включите аудит доступа к объектам через групповую политику и следите за изменениями в DC=Domain,DC=com объект.

Редактировать: Просто хотел немного прояснить последнюю часть.

Использовать

repadmin /showobjmeta . "CN=NTDS Settings,CN=CONTOSO01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=Com"

И если атрибут msDS-ReplicationEpoch был изменен, он покажет вам, с какого контроллера домена произошло это изменение («Исходный DSA») и в какое время. Оттуда вам нужно будет проверить журналы безопасности на этом исходном контроллере домена, чтобы увидеть, кто вошел в систему в то время.