Não há muito que você possa fazer lá, a maioria é bem tediosa. O TS manterá informações sobre o nome do computador cliente após o login - essas informações vão para a variável de ambiente CLIENTNAME. Você poderia usar essas informações junto com o timestamp para
a) consulta o log de segurança do seu controlador de domínio até você descobrir quem estava logado nesse mesmo cliente durante o período de tempo específico (o que envolveria a análise de volumes muito grandes de logs) ou
b) execute psloggedon ou alguma variante usando o mesmo método do TS para o% CLIENTNAME % máquina imediatamente para aprender sobre o nome de usuário no logon interativo
O último obviamente requer uma conexão RPC / acesso de registro remoto ao cliente e ambos exigirão uma operação privilegiada que você provavelmente precisará ativar com direitos administrativos.