Удаленный рабочий стол к локальному ПК

В нашей организации мы имеем контроль, который наблюдает за пользователями, которые используют высокие учетные записи Active Directory полномочия для RDP в любой сервер или рабочую станцию в нашей сети.

Я недавно включил это управление, которое наблюдает журналы, связанные с Windows Terminal Services с определенными фильтрами для высоких учетных записей доступа полномочия на нашем домене.

Было несколько полезных журналов, которые указывают на пользователей, использующих эти учетные записи для RDP, но существует также несколько журналов, которые указывают на действие RDP, но поле "Source Network Address" "ЛОКАЛЬНО".

Вот демонстрационный журнал (с чувствительной вычищаемой информацией):

Microsoft-Windows-TerminalServices-LocalSessionManager/Операционный, 01/08/2014,13:31:45 PM, Microsoft-Windows Microsoft-Windows-TerminalServices-LocalSessionManager, 21, информация, N/A, Ни один, N/A, comptername.domain.com, IP:1.1.1.1,21, Службы удаленного рабочего стола: за входом в систему Сессии следуют: Пользователь: идентификатор Сессии domain\highaccessaccount: 1 Адрес Исходной сети: ЛОКАЛЬНЫЙ

Мой вопрос, кто-либо видел какие-либо журналы, настолько подобные этому, и у кого-либо есть идея, как пользователь мог генерировать этот журнал с местом назначения, являющимся локальной машиной?