Если нужно определить на удалённом компьютере, под каким пользователем на него входили (интерактивный вход), то, подключившись оснасткой Computer Management, можно зайти в Event viewer/Windows Logs/Security (Просмотр событий/Журналы Windows/Безопасность) и справа нажать Filter Current Log (Фильтр текущего журнала). В открывшемся окне нужно перейти во вкладку XML и нажать снизу галочку Edit query manually (Изменить запрос вручную).
В окне ввода фильтра вписать:
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)] and (EventData[Data[@Name='LogonType']='2'] or EventData[Data[@Name='LogonType']='11'])]</Select>
</Query>
</QueryList>После нажатия ОК покажутся только события входа в Windows.
Также можно добавить в фильтр события разблокировки компьютера (LogonType=7), чтобы получить все события локальных действий с компьютером, но для данной задачи это не нужно.
Тип входа 2: Интерактивный. Пользователь непосредственно вошел на этот компьютер.
Событие с типом входа = 2 записывается в журнал безопасности когда пользователь вошел или попытался войти в систему непосредственно локально, используя клавиатуру и введя имя пользователя и пароль в окне входа в систему. Событие с типом входа = 2 возникает при использовании как локальной так и доменной учетной записи.
Если пользователь входит с доменной учетной записью, событие с типом входа = 2 появится если пользователь будет действительно аутентифицирован в домене (контроллером домена)
В случае, если контроллер домена недоступен, но пользователь предоставил валидный пароль, закэшированный в локальном компьютере, Windows поставит тип входа = 11.
Тип входа 11: CachedInteractive. Пользователь вошел на этот компьютер с сетевыми учетными данными, которые хранились локально на компьютере. Контроллер домена не использовался для проверки учетных данных.
Когда пользователь входит в домен, Windows кэширует учетные данные пользователя локально, так что он позже может войти даже если контроллер домена будет недоступен. По умолчанию, Windows кэширует 10-25 последних использованных доменных учетных записей (это зависит от версии Windows). Когда пользователь пытается войти с доменной учетной записью, а контроллер домена не доступен, Windows проверяет учетные данные по сохраненным хэшам и регистрирует события 4624 или 4625 с типом входа = 11.