Как отследить мошеннические рабочие группы или домены

У меня сильное чувство, что один из наших специалистов по поддержке настольных компьютеров делает это, но я хочу посмотреть, смогу ли я отследить это, прежде чем начать обвинять людей. Я просто не знаю как...

При входе в локальное веб-приложение раскрывающийся список содержит несколько случайных записей. Я сильно чувствую, что его рабочие группы не являются доменами, но в любом случае я хочу найти способ отследить его.

Посмотрите на следующую картинку:

NTLM обнаруживает все эти домены / рабочие группы. Как мне их отследить?

Я подозреваю, что кто-то удаляет машины из домена и входит в них как рабочие группы...