Como você afirmou, o DC não captura logins em um computador remoto com credenciais armazenadas em cache, pois o computador nem sempre pode estar fisicamente conectado ao domínio. Em vez disso, você precisará verificar o computador dele diretamente enquanto o computador dele estiver on-line.
You can use the Event Viewer or the wevtutil command at a command prompt to manage event logs on a remote computer.
- Start Event Viewer.
- Click the root node, for example Event Viewer (Local), in the console tree.
- On the Action menu, click Connect to Another Computer
- In the Another computer box, type the name or IP address of the remote computer.
- (Optional) Select Connect as another user, click Set User, enter the User name and Password, and then click OK
- Click OK
Source: Work with Event Logs on a Remote Computer - Microsoft TechNet
Pesquise Evento 4648 - Foi tentado um logon usando credenciais explícitas no seu computador.
Como a descrição diz, é somente quando um logon usa credenciais explícitas. Este evento é gerado ao fazer o login ou desbloqueio mesmo com credenciais salvas (por exemplo: Área de Trabalho Remota).
Nota: Como em qualquer evento, você pode fazer filtragem adicional para remover quaisquer eventos gerados automaticamente (menos comuns com 4648 e nome de usuário). A GUI (na guia Filtro) fornece filtragem em alguns campos. Usando a guia XML, você pode filtrar em qualquer campo dentro do evento.