Sua declaração "se conecta a" é um pouco vaga. Suspeito que você esteja falando de um administrador usando ferramentas de administração integradas ou de terceiros e não conexões TCP simples para os clientes.
Não haverá muito, a menos que algo seja feito. O acesso TCP / IP simples não é registrado por padrão. As principais coisas que você estaria procurando são alterações no sistema de arquivos e registros nos logs de eventos.
A maioria dos "rastreios" que você encontrará encontrar-se-ia no log de eventos de segurança. Em uma máquina Windows XP armazenada, não haveria muita coisa registrada, porque, por padrão, nenhuma auditoria estava habilitada em qualquer versão do Windows XP. Nas máquinas Windows Server 2008 e Windows 7, os padrões são expandidos (embora eu não tenha uma referência útil no momento) e acredito que você verá algumas tentativas bem-sucedidas de acesso, bem como falhas, por padrão.
Como um aparte, "Política de auditoria" é o que você está procurando para configurar computadores para auditar esse tipo de coisa no futuro.
Se houver um logon interativo, você terá uma série de eventos no log de eventos do aplicativo em qualquer uma dessas versões do Windows.
Dependendo do nível de auditoria que você ativou em seus controladores de domínio, você poderá ver eventos nos Logs de eventos de segurança nas máquinas que exibem eventos de logon nos computadores-cliente. Um evento de logon seria gerado sempre que uma conta de domínio fosse usada para acessar um serviço que usa autenticação de domínio no cliente (ferramentas de administração remota integradas via RPC, conectando os compartilhamentos de arquivos, logons interativos).
Se o "Administrador" usou uma ferramenta de terceiros ("LogMeIn", "VNC", etc), provavelmente haverá registros no Registro de Eventos do Aplicativo.
Se o sistema de arquivos NTFS estiver configurado com as configurações padrão, os últimos tempos de acesso aos arquivos serão "esbarrados", mas você provavelmente irá eliminar qualquer evidência se você se atrapalhar tentando ver o que está tomando precauções. Obviamente, se algum arquivo foi modificado ou criado e as etapas não foram tomadas para cobrir as faixas, também haverá alterações na hora de criação e modificação.
No cenário descrito na sua pergunta, dependendo das versões do sistema operacional em execução, você poderá ver eventos nos Logs de eventos de segurança nos Workstation2 computer e Active directory Server1 mostrando os eventos de logon na rede associados ao acesso ao sistema de arquivos . Se Workstation2 for uma máquina com Windows XP com configurações de estoque, você não verá nada lá.