[greg zakharov]

Аутентификация пользователя - это по части LSA, верно? Следовательно, вам нужно смотреть в сторону так называемых, loggon sessions (нечто вроде WMI класса Win32_LoggonSession) или же просто брать данные из соответствующих журналов (если таковые в системе не были отключены), - это ежели не лезть в дебри WinAPI. Что до реестра, максимум который из него можно выжать - временная метка пересоздаваемого каждый раз при загрузке системы для текущего пользователя пути Volatile Environment куста HKCU, или поля структуры FILETIME в подразделах пути HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList, представленных SID'ами зарегистрированных в системе пользователей. Следует заметить, что названия значений от версии к версии ОС не уникальны, а их данные при этом могут быть пустыми или всегда равными нулю.