Respuestas:
Si tiene la auditoría habilitada para las actividades de administración de cuentas con anticipación. Más información sobre cómo hacerlo aquí: http://technet.microsoft.com/en-us/library/cc731607(v=ws.10).aspx
Supongo que está utilizando Windows server2008 con Active Directory.
Puede encontrar quién deshabilitó a un usuario comprobando el Visor de eventos en el Controlador de dominio (panel de control> herramientas administrativas> visor de eventos) y mirando el Registro de eventos de seguridad. Verifique los eventos con la fuente "Auditoría de seguridad de Microsoft Windows" e ID "5136". En los detalles del evento, puede encontrar el DN del usuario que ha sido deshabilitado junto con la fecha y hora de la operación.