[monkkey]

Настраивайте политики аудита в Групповой политике (либо локально на сервере) и включайте аудит нужных событий на папку ( в свойствах папки)

[dimtonik]

Цитата monkkey:

включайте аудит нужных событий на папку ( в свойствах папки) »

Этот момент чего-то не очень понял....

[monkkey]

Security - Advanced - Auditing

[dimtonik]

Чтобы применить или изменить параметры политики аудита для локального файла или папки
Откройте проводник Windows.
Щелкните правой кнопкой мыши файл или папку, для которых требуется провести аудит, выберите команду Свойства и откройте вкладку Безопасность.
Нажмите кнопку Дополнительно и перейдите на вкладку Аудит.
Выполните одно из следующих действий.
Для добавления нового пользователя или группы нажмите кнопку Добавить. В поле Введите имена выбираемых объектов введите имя пользователя или группы и нажмите кнопку OK.
Чтобы отменить аудит для имеющейся группы или пользователя, выберите соответствующее имя, нажмите кнопку Удалить, кнопку OK, затем пропустите оставшуюся часть процедуры.
Чтобы просмотреть или изменить параметры аудита для имеющейся группы или пользователя, выберите соответствующее имя и нажмите кнопку Изменить.
В поле Применять выберите место, в котором следует провести аудит.
В поле Доступ укажите, для каких действий необходимо провести аудит, установив соответствующие флажки.
Чтобы производить аудит успешных событий, установите флажок Успех.
Чтобы прекратить аудит успешных событий, снимите флажок Успех.
Чтобы производить аудит неуспешных событий, установите флажок Отказ.
Чтобы прекратить аудит неуспешных событий, снимите флажок Отказ.
Или, чтобы прекратить аудит всех событий, нажмите кнопку Очистить все.
Если требуется предотвратить наследование этих элементов аудита последующими файлами и подпапками исходного объекта, установите флажок Применять этот аудит к объектам и контейнерам только внутри этого контейнера.
Важно!

Перед настройкой аудита файлов и папок необходимо разрешить аудит доступа к объекту, установив параметры политики аудита для категории событий доступа к объектам. Если аудит доступа к объекту не будет разрешен, при настройке аудита файлов и папок будет выдано сообщение об ошибке, а аудит файлов и папок проводиться не будет. Для получения дополнительных сведений о разрешении аудита доступа к объекту см. ссылку «См. также», раздел «Определение и изменение параметров политики аудита для категории события»
Примечания

Для выполнения этой процедуры необходимо войти в систему в качестве члена группы администраторов либо иметь право Управление аудитом и журналом безопасности в оснастке Групповая политика.
Чтобы открыть проводник, нажмите кнопку Пуск и выберите команды Программы, Стандартные и Проводник.
Для получения сведений об аудите раздела локального реестра см. ссылку «См. также», раздел «Аудит работы с разделом реестра».
После включения аудита доступа к объектам просмотрите результаты изменений в журнале безопасности в программе «Просмотр событий».
Настройка аудита доступа к файлам и папкам возможна только на дисках NTFS.
Если:
в диалоговом окне Элемент аудита для файла или папки в поле Доступ флажки недоступны;
в диалоговом окне Дополнительные параметры безопасности для файла или папки кнопка Удалить недоступна,
значит параметры аудита унаследованы от родительской папки.
Так как размер журнала безопасности ограничен, файлы и папки для проведения аудита следует выбирать аккуратно. Также следует решить, какой объем дискового пространства следует отвести под хранение журнала безопасности. Максимальный размер журнала безопасности задается в окне просмотра событий.
См. также

PS: Из справки