Du könntest mal das advanced Auditing konfigurieren - Erweiterte Überwachungsrichtlinien, Systemüberwachung, Berechtigung, "Nicht sensible Verwendung von Rechten". Das erzeugt gemäß Doku beim Ändern der Systemzeit einen EIntrag im Security Eventlog. Das muß natürlich dann groß genug sein - aber dann weißt Du, welcher Prozess unter welchem Account das macht.