Все пароли истекли какой?
Что Вы хотите знать о тех процессах? Если можно управлять, кто порождает процессы, strace -feprocess $SHELL сделаю.
Если это - просто обзор их места, используйте учет процесса (у гну acct пакет; используйте команду lastcomm), или высокоуровневые инструменты как режим регистратора atop. В будущем инструменты как трассировка и uprobes будут полезны для вытаскивания подробной информации из ядра.
Look in your security event log on the domain controller for event ID 628. If passwords were reset by someone other than the user himself, this event should have been recorded for each user whose password was reset. The details should tell you who changed the password.
If passwords had simply expired, you would see event ID 535 logged when an affected user tries to log in.
Also look for other events around the time period that you believe this happened. You may find other events logged that will give you a clue as to what happened.