Você pode percorrer todos os logs do Controlador de Domínio procurando o EventID 672 (Certificado de Autenticação do Kerberos Concedido). Se você quiser ter absoluta certeza de que o usuário foi logado subsequentemente com êxito, convém correlacionar isso com um evento subsequente com EventID 673 indicando que houve um ticket de serviço real concedido, não apenas o ticket de concessão de ticket que 672 faixas. Há um bom artigo sobre estes e os EventIDs relacionados em este artigo de Technet .
Esta é a única maneira que conheço que pode permitir que você rastreie logons históricos do AD após o fato no nível do domínio, se você não estiver usando algum mecanismo ou script de terceiros que já esteja em vigor. O conteúdo desses eventos conterá o nome de usuário e o endereço IP do sistema de origem do logon (os detalhes específicos desses campos estão no artigo vinculado, mas são óbvios quando você os examina). É importante lembrar que isso só será útil se você tiver registros do Controlador de Domínio que retornem o suficiente e que poderá ser muito trabalhoso se você tiver um grande número de DCs. Não há como usar esses eventos (ou qualquer outro evento relacionado ao kerberos) para rastrear os tempos de logoff, já que eles não são mediados pelos controladores de domínio.
No nível da estação de trabalho, você pode pesquisar os registros procurando ID de evento 528 Tipo 2 para rastrear logons interativos locais (mesmo aqueles que usam Contas de Domínio) e EventID 538 tipo 2 para rastrear eventos de logoff, o que pode dar uma ideia melhor da tempos reais que o usuário passou conectado. O principal problema com eles é que eles são úteis apenas se você souber exatamente de quais sistemas o usuário efetuou login em primeiro lugar. O campo Tipo é crítico, pois normalmente haverá muito mais eventos EventID 528 \ 538 do Tipo 3 que indicam conexão \ desconexão de recursos de rede, como compartilhamentos de arquivos, etc. Você pode encontrar mais informações sobre esses eventos em este artigo da base de conhecimento da Microsoft .
Para domínios de nível funcional do Windows 2003, o AD mantém uma cópia consistente do atributo "LastLogonTimeStamp" replicado em todos os DCs, mas isso simplesmente informará o último horário de logon bem-sucedido e não dará uma idéia do histórico de logons.