Użytkownik podczas logowania uwierzytelnia się w kontrolerze domeny. Kontroler domeny  zapisuje te informację w logach zapamiętując godzinę i dane użytkownika.  Proces uwierzytelniania, jeśli zakończył  się sukcesem, przyznaje użytkownikowi TOKEN (w którym jest informacja o grupach do których użytkownik należy i jakie otrzymał prawa) i zapisuje informacje w atrybutach obiektów AD. Zapisane informacje można sprawdzić poleceniem Powershell - get-aduser:

Nie ma domyślne możliwości sprawdzania „procesu wylogowywana”, bo jest to operacja wykonywana bez udziału kontrolera domeny (chyba, że skonfigurowano specyficzny skrypt wylogowywana zintegrowany z kontem użytkownika).

Domyślne ustawienia w AD:

Historyczne dane logowania można wyszukać w logach systemowych komputera, który był użyty do logowania, lub na kontrolerze przez który odbyło się logowanie.

Ile zdarzeń możemy przechowywać zależy od konfiguracji logu.

Skojarzone wątki które warto przeczytać:

https://quorum.akademiq.pl/discussion/982

https://quorum.akademiq.pl/discussion/2681/analiza-log%C3%B3w-systemowych