Como dijo, el DC no captura los inicios de sesión en una computadora remota con credenciales almacenadas en caché, ya que la computadora no siempre está físicamente conectada al dominio. En su lugar, tendrá que revisar su computadora directamente mientras su computadora está en línea.
Puede usar el Visor de eventos o el comando wevtutil en un comando
Indicador para administrar los registros de eventos en una computadora remota.
- Iniciar el visor de eventos.
- Haga clic en el nodo raíz, por ejemplo Visor de eventos (local) , en el arbol de la consola.
- Sobre el Acción menú, haga clic en Conectarse a otra computadora
- En el Otra caja de la computadora , escriba el nombre o la dirección IP de la computadora remota.
- (Opcional) Seleccione Conectar como otro usuario , haga clic Establecer usuario , introducir el Nombre de usuario y Contraseña y luego haga clic en DE ACUERDO
- Hacer clic DE ACUERDO
Fuente: Trabajar con registros de eventos en una computadora remota - Microsoft TechNet
Buscar Evento 4648: se intentó iniciar sesión utilizando credenciales explícitas en su computadora
Como dice la descripción, es solo cuando un inicio de sesión utiliza credenciales explícitas. Este evento se genera al iniciar sesión o desbloquear incluso con las credenciales guardadas (es decir, Escritorio remoto).
Nota: Como con cualquier evento, puede hacer un filtrado adicional para eliminar cualquier evento generado automáticamente (menos común con 4648 y el nombre de usuario). La GUI (en la pestaña Filtro) proporciona filtrado en algunos campos. Usando la pestaña XML, puede filtrar en cualquier campo dentro del evento.