ユーザーログオン時に「TerminalServices-LocalSessionManager」の「Operational」にどのようなイベントが記録されるのかを実際に確認してみた結果、Windows Server 2008 R2 Standard(RTM版)とWindows 10 Enterprise Technical Preview(ビルド9926)で共通して、 [ID:21] というイベント(情報)が記録されました。
どちらのOSの場合も、ログオンするコンピューターは、Active Directory ドメイン「test.domain」に参加しています。
そこに、ドメインユーザー「User001」としてログオンした場合の[ID:21]の内容は以下のようになります。
※セッションIDの数値は変動するものなので、Xとしておきました。
※[C],[D],[E]のように他のコンピューターからリモートでアクセスする場合は、同一セグメント内にあるWindows Vista Enterprise SP2 (IPアドレス:aaa.bbb.ccc.ddd)からアクセスしています。
[A] ローカルでログオンした場合
リモートデスクトップ サービス: セッション ログオンに成功しました。
ユーザー: TEST¥user001
セッションID: X
ソースネットワークアドレス: ローカル
[B] ローカルでキャッシュログオンした場合
上記[A]と全く同じです。
つまり、キャッシュログオンか否かは判別できません。
[C] リモートデスクトップでログオンした場合
リモートデスクトップ サービス: セッション ログオンに成功しました。
ユーザー: TEST¥user001
セッションID: X
ソースネットワークアドレス: aaa.bbb.ccc.ddd
[D] リモートデスクトップでキャッシュログオンした場合
上記[C]と全く同じです。
つまり、キャッシュログオンか否かは判別できません。
[E] エクスプローラーで C$ (管理共有)へアクセスした場合
何も記録されません。
[F] タスクの実行ユーザーとしてログオンした場合
何も記録されません。
つづく