Как вы указали, контроллер домена не регистрирует логины на удаленном компьютере с кэшированными учетными данными, поскольку компьютер не всегда может быть физически подключен к домену. Вместо этого вам придется проверять его компьютер напрямую, когда он подключен к сети.
Вы можете использовать Просмотр событий или команду wevtutil в командной строке для управления журналами событий на удаленном компьютере.
- Начать просмотр событий.
- Щелкните корневой узел, например Event Viewer (Local), в дереве консоли.
- В меню « Действие» выберите « Подключиться к другому компьютеру».
- В поле Другой компьютер введите имя или IP-адрес удаленного компьютера.
- (Необязательно) Выберите « Подключиться как другой пользователь», нажмите « Установить пользователя», введите имя пользователя и пароль, а затем нажмите « ОК».
- Нажмите ОК
Источник: Работа с журналами событий на удаленном компьютере - Microsoft TechNet.
Поиск события 4648. Была предпринята попытка входа в систему с использованием явных учетных данных на его компьютере.
Как говорится в описании, только при входе в систему используются явные учетные данные. Это событие генерируется при входе в систему или разблокировке даже с сохраненными учетными данными (например, удаленный рабочий стол).
Примечание. Как и в случае с любым другим событием, вы можете выполнить дополнительную фильтрацию, чтобы удалить любые автоматически сгенерированные события (реже встречается с 4648 и именем пользователя). Графический интерфейс (на вкладке «Фильтр») обеспечивает фильтрацию некоторых полей. Используя вкладку XML, вы можете фильтровать любое поле в пределах события.