[QRS]

Включите "Аудит событий входа в систему" и "аудит управления учетными записями".
Мониторинг событий на 4х КД можно организовать силами Powershell (результаты можно складывать в одно место - текстовый файл, например).
Если учетка хеширована, то сработает только "аудит входа в систему" на локальном ПК, пока не будет попыток сетевого доступа под этой учетной записью.

Проще, как мне кажется, ограничить крутую группу правом входа на узкий круг ПК, имеющих нормальную защиту или разрешить вход только по смарт-карте.

Может быть Вы могли бы сформулировать исходную задачу - и тогда Вам смогут предложить какое-нибудь другое приемлемое решение...