O mais próximo que você vai conseguir é o "lastLogonTimestamp" no objeto. Para descobrir de onde ele está efetuando login, você terá que analisar os logs de eventos de Segurança do Controlador de Domínio para procurar o evento de login e de onde ele veio.