Los inicios de sesión de escritorio remoto (RDP) quedan registrados en el registro de eventos de Windows.

Windows: Listar inicios de sesión escritorio remoto (RDP) - Vía GUI

Podemos consultar estos registros vía GUI utilizando el visor de eventos (eventvwr.msc)

La localización de estos eventos los encontraremos en:

Visor de eventos - Registro de aplicaciones y servicios - Microsoft - Windows - TerminalServices-LocalSessionManager - Operational

Una vez situados en esta rama del visor de eventos, podemos ver los eventos con el identificador: 25

Este es el aspecto de uno de los eventos donde podemos ver el usuario que la ha iniciado sesión, la fecha y hora así como la dirección IP origen:

Windows: Listar inicios de sesión escritorio remoto (RDP) - Vía PowerShell

Otra forma de obtener la misma información es utilizando PowerShell.

El cmd-let a ejecutar seria el siguiente:

Get-WinEvent -ProviderName Microsoft-Windows-TerminalServices-LocalSessionManager|?{$_.ID -eq 25}|select-object Timecreated,Message|fl *

Ejemplo de ejecución:

Para mas información sobre los servicios de escritorio remoto en Windows Server, disponemos del libro: