Je třeba na tom serveru v security zapnout auditing na logon events. Jelikož je to DC tak je třeba to povolit v domain controller security policy, je to v security policy pro local computer (nevím to teď z hlavy, prohledej to tam). Pak si nastav jestli chceš auditovat úspěšné, neúspěšné pokusy o přihlášení nebo oba. Výsledek uvidíš v eventlogu v security.

EDIT:
Jo ještě jsem zapomněl. Abys nemusel čekat, než se to nastavení aplikuje přes GP, tak to můžeš urychlit tímto příkazem:
secedit /refreshpolicy machine_policy /enforce