s admošem nevydrbou, jeho heslo se dá vynulovat a přihlásit bez něj, jsou na to nástroje.
pokud si něco přepíší, mělo by se to objevit ve vlastnictví těch souborů.

změna hesla - kdo ji provedl - se neloguje. (pravda to úplně není, protože když se nastaví politika vypršení hesel a zákaz jejich opakování, někde se jejich historie ukládat musí, ale tam bude spíš jen hash, bez toho kdo heslo měnil). ale pokud jde určit čas změny mi neznámého klíče v registru* (třeba přes prohlížeč registru v altap salamanderu) a v eventlogu vidím kdo byl zrovna přihlášený, má po admošských ptákách.

*) edit: co to melu, hesla jsou snad tu C:\WINDOWS\system32\config\SAM, takže ten nápad s časem změny nebyl šťastný