Você deseja ativar o registro de auditoria no seu controlador de domínio. Se você não tiver a auditoria ativada agora, não poderá coletar essas informações até ativá-las. A maneira mais fácil de fazer isso seria através da Diretiva de Grupo. Abra o Console de Gerenciamento de Diretiva de Grupo e clique com o botão direito do mouse e escolha "Editar ..." na "Diretiva de Controlador de Domínio Padrão" que está vinculada ao contêiner Controladores de Domínio. Consulte "Configurações de segurança do computador > Windows > Políticas locais > Política de auditoria". Você desejará ativar o "Logon da conta de auditoria" e auditar tentativas "bem-sucedidas", tentativas "com falha" ou ambas.
Você não mencionou qual SO seu DC está executando. Se é 2008/2008 R2, você tem algumas opções adicionais de auditoria.
As configurações acima gerarão eventos no log de eventos de segurança em seus DCs quando os usuários fizerem logon em um PC do domínio. Mesmo com o set de auditoria, você ainda precisa percorrer seus logs de eventos para coletar as informações.