*

Это оно, но мало.
Пример есть, он работает, по SIDу можно найти человека и т.д.

Лучше, наверное, задачу описать?..

Необходимо сделать отчет типа рабочего графика. Кто и когда пользовался доменными службами. Я так понял, что наиболее "правильно" это делается включением Logon аудита и последующим анализом журнала аудита.

В итоге в журнале аудита есть куча записей для каждого пользователя с кодами Logon / Logoff (538, 540), но! Их там много. А при детальном изучении EventView получаем еще и информацию типа Logon ID: (0x0,0x7E313CFB), которая указывается в том числе и при Logoff... Я полагаю (ошибочно?), что по этому параметру можно вычислить сессии?.. Или нет?

Все, нашел. Кто будет копать - обратите внимание на NumStrings и на
Вот это
Будет достаточно.