[Slovyanin]

Добрый день. В 2008R2 есть оснастка "Конфигурация служб терминалов" там есть посредине окно, "Подключения" внизу "RDP-TCP" выберете сво-во этого объекта и там будет вкладка Безопасноть далее кнопка Дополнительно, и вкладка аудит, вы можете выбрать конкретного пользователя и на него включить аудит, и там выбрать соответствующие параметры для аудита, мне кажется что вам это поможет. Дальше с помощью скрипта разбирать логи. Хочу еще добавить что этот аудит будет работать если в политиках включен и правильно настроен аудит.