terran, листать лог событий при большом количестве пользователей не сильно удобно, чревато пропусками.
Если пользователи доменные, то я бы советовал задействовать политику смены паролей (в политике безопасности найти раздел называющийся "политика паролей" и там параметр "максимальный срок действия пароля"), установить около двух недель (предварительно ознакомив пользователей с "положением о паролях", во избежание).
А затем в свойствах AD-юзера на закладке "объект" смотреть время изменения учетки. Если юзер активен, и менял пароль - время изменения будет свежим.
Если закладка "объект" в оснастке "Active directory - пользователи и компьютеры" отсутствует, то нужно включить "дополнительные компоненты" в меню "вид".
Для локальных юзеров этот способ неприменим закладки "объект" нету. Но в любом случае политику паролей лучше задействовать, поскольку забытые юзера самозаблокируются.