[NiOl]

Можно добавить следующее: Недоменные компы (манагеры с ноутами) могут также возиться в сети, но в логах участия не принимают. При желании в оснастке "Domain Security Policy" => "Local Policies" => "Audit Policy" можете наставить галочки для контроля тех или иных событий. Например обращение к ресурсам сети недоменными компами можно отловить таким путем. Расплата за это - необходимость работы с неудобным "Event viewer" а также быстрорастущие гиганские логи, которые нужно время-от-времени бэкапить/чистить.