Windows Server 2003 R2 - このサーバーをシャットダウンしたのは誰ですか?

誰か助けて欲しいです。3 回もシャットダウンされたサーバーがあるのですが、誰がシャットダウンしたのかはっきりわかりません。Windows イベント ログの謎を解くのに誰か助けて欲しいです。

これは、シャットダウン トラッカーがオンになっていない Windows Server 2003 64 ビルド サーバーです。

以下のイベントがあります:

1日目。

17:34:23 - ID 523、576、538 - ユーザー 1 がワークステーションのロックを解除します (ログオン タイプ 7 - RDP セッション経由で接続されています)

17:34:44 - ID 26 - アプリケーション ポップアップ - 他のユーザーがこのシステムにログオンしています。このコンピューターをシャットダウンしています.....

17:34:46 - ID 551 - ユーザー1がログオフを開始

17:34:49 - ID 551 - ユーザー2がログオフを開始

17:34:53 - ID 538 - ユーザー1がログオフしました

17:34:53 - ID 1517 - User2 プロファイルをアンロードできません

17:34:53 - ID 1516 - ユーザー2のプロファイルがアンロードされました

17:35:10 - ID 513 - シャットダウン中

2日目。

16:25:32 - ID 523、576、538 - ユーザー1 がワークステーションのロックを解除します (ログオン タイプ 7 - RDP セッション経由で接続されています)

16:25:54 - ID 26 - アプリケーション ポップアップ - 他のユーザーがこのシステムにログオンしています。このコンピューターをシャットダウンしています.....

16:25:56 - ID 551 - ユーザー1がログオフを開始

16:25:58 - ID 551 - ユーザー2がログオフを開始

3日目。

10:45:29 - ID - User1 が RDP 経由でログオン (ログオン タイプ 10)

11:09:47 - ID 523、576、538 - ユーザー1 がワークステーションのロックを解除 (ログオン タイプ 7)

11:38:11 - ID 26 - アプリケーション ポップアップ - 他のユーザーがこのシステムにログオンしています。このコンピューターをシャットダウンしています.....

11:38:17 - ID 551 - ユーザー1がログオフを開始

11:38:17 - ID 538 - ユーザー1 ログオフ

11:38:32 - ID 513 - シャットダウン中

これは通常、ユーザーがワークステーションのロックを解除し、シャットダウンし、piopup に「はい」と答え、その後ログオフしてサーバーをシャットダウンするように見えます。

これがあまり参考にならないことは分かっていますが、私が持っているのはこれだけです。

私が尋ねているのは、これが私が考えているもののように見えるかどうか、さらに情報が必要かどうか、あるいはこれは何でもあり得るかどうか、そして間違いなくさらに情報が必要であるかどうかです。