Creo que lo primero que debes hacer, es ver la politica del domain controller que se disparo, tendras que ver la configuración de ese servidor y una vez tengas claro cual fue la "instrucción" que obligo el lanzamiento dicho proceso, la modifiques segun tus necesidades, si tienes sospechas de que no ha sido por un error de configuración o una politica mal definida, intenta instalado un NIDS como Snort y configura sus reglas para que detecte cualquier evento producido en las máquinas que controlas.