¿Cómo rastrear un inicio de sesión de administrador al servidor de directorio activo (2008 R2) desde qué host o qué IP (en la situación en la que varios administradores están trabajando)?
Puede consultar este documento
Es la función del punto de control hacer lo que quieras.
La idea básica es simple. Monitoree el registro de eventos de Windows para el mensaje de inicio de sesión del usuario. Hay tipos de eventos específicos para el evento de inicio de sesión del usuario. Hay información de enlace de usuario e IP que necesita en el mensaje de registro.
Para varios dominios, necesita monitorear todos los controladores de dominio de los dominios.
Lea otras preguntas en las etiquetas active-directory server