首先感謝各位先進的回應!

我不敢亂停他們的帳號啦 尤其BBB是主管之一說 XDDD

因為AAA和BBB兩者常要跑外勤，所以他們的電腦多半都是關機狀態，在問題發生時，我是沒有親自去查訪，比方說昨天早上9點20分左右BBB的帳號被使用來登入他自己的BBB-PC時，這時的BBB電腦到底有沒有開著? 不過事後問別人好像那時候BBB人的確還沒出門。

所以我要先查AAA和BBB這兩台電腦有沒有中木馬嗎?
再者我要怎麼知道公司中有沒有電腦(所有電腦也包含AAA和BBB的電腦)暴露在外呢?(不好意思，小弟問題一堆~)

現在仔細想想，有配給BBB一條連外網的線(主管嘛 XD)，當然也有內網的線用來登入網域收信，搞不好就是他在連外網的時候發生的(就是昨天早上9點20分左右)
，因為這樣也才會顯示登入位置是BBB-PC吧?

而其他的人(包含我)，的非主管人事，都得要透過某台伺服器的proxy server才能對外連線，這樣還是有可能會暴露在外嗎?

還有raytracy先進所說的：以該 User 的 Email ID 當成帳號, 開始進行 Brute force 猜密碼的作業...
我也覺得是這樣子，因為最近常能收到一些垃圾信，應該是有人收信的時候亂點什麼的(淚
只要對方知道AAA或者BBB的email address就可以用這個ID去試了，對吧?

最後，我想請問Windows Server 2003的事件欄中的安全性，點開看的到來源的IP和使用的port嗎? 要怎麼看呢?

感謝各位先進!

conandexter提到：
最後，我想請問Windows Server 2003的事件欄中的安全性，點開看的到來源的IP和使用的port嗎? 要怎麼看呢?

看不到, 你需要有一台具備完整 Log 紀錄的防火牆, 或是網路側錄器, 才能抓得到這個 IP...

raytracy提到：
這不一定是 User 的錯

這我知道，但就算不一定是他的錯，跟他也有關係，讓他自己發現網路不通了來找IT，就是要他知道，且以後要多注意，不然，現在人都是 [一皮天下無難事，反正資安都是 "IT" 的事，我一定要上網!]。
當然，若是主管級，就要看他的層級而定，還是會保有彈性的啦..