No (s) controlador (es) de domínio, configure a política: Policies > Windows Settings > Security Settings > Local Policies > Audit Policy >Audit account logon events to Enabled, Success . Faça isso com um objeto de política de grupo atribuído à unidade organizacional de controladores de domínio do domínio.
Quando os DCs tiverem atualizado sua política (você pode forçá-los com gpupdate ), um evento será gerado no log de segurança para cada logon bem-sucedido. Dentro do evento, ele listará o nome da conta (ou seja, o nome de usuário), juntamente com o endereço de rede de origem (IP da estação de trabalho). Às vezes, ele preencherá campos adicionais dependendo do tipo de logon, mas esses dois são confiáveis.