Много изменений от анонимного входа

Какие изменения? Или вы просто видите события Anonymous Logon в журналах?

Учетная запись Anonymous используется для нескольких задач, связанных с запросом информации вне домена. От Microsoft:

Некоторые службы, работающие в версиях Windows более ранних, чем Windows 2000, используют анонимный доступ для запроса информации об учетных записях пользователей с контроллеров домена и для составления списка сетевых ресурсов на файловых серверах и рабочих станциях.

Вам также может понадобиться разрешить анонимный доступ, когда администратору в доверяющем домене односторонних доверительных отношений между лесами необходимо составить список пользователей и общих ресурсов в доверенном домене другого леса.

Больше на http://technet.microsoft.com/en-us/library/cc785670%28v=ws.10%29.aspx

Но анонимный пользователь не должен вносить изменения, поэтому мне интересно, какой идентификатор события вы имеете в виду, или какой инструмент вы используете, чтобы сказать, что это такое. Anonymous - это базовая, ограниченная учетная запись для получения (надеюсь) ненавязчивой информации без полных прав входа в домен.

РЕДАКТИРОВАТЬ - нажмите "Отправить" слишком быстро. В примере, который вы приводите для badpwdcount, говорится, что что-то... машина, служба, человек... пытается войти в систему и не дает правильные учетные данные. Это может быть неверная конфигурация, или кто-то что-то неправильно набирает, или кто-то подсматривает за сетью (что вызывает это? Веб-сайт в IIS? Компьютер в вашем домене?) Атрибут badpwdcount в AD используется, например, для отслеживания, если учетная запись должна быть заблокирован после X числа неудачных попыток входа в систему. Попытка входа осуществляется от имени анонимного до тех пор, пока учетные данные не будут установлены.