Здравствуйте. К нам по всей видимости подключаются по RDP.
Скажите как можно отследить эти подключения и узнать ip адрес?

Настройте аудит в локальных политиках - аудит входа в систему. Смотрите в журналах событий код события 10 - Logon Type Codes Revealed (http://www.windowsecurity.com/articles/Logon-Types.html)

Там вроде не пишется IP адрес. или мы ошибаемся?

Не уверен, но должен писать вроде, должен быть логин, имя компьютера и IP компьютера с которого было подключение. Сейчас нет возможности проверить, но вы можете это сделать и самостоятельно. Пишется в журнал безопасности.

Вот описание как разбирать журнал безопасности.
http://blog.wadmin.ru/2010/04/security-logs-audit/

При разборе журнала смотрите за типом входа 10 (Logon type: 10)