Аудит доступа к реестру
 

Всем привет!

Моя задача - отслеживать, кто занимается расшариванием папок на компе с Windows 7. Для этого я настроил аудит реестра на ветку HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Shares\. Аудит настраивал в Редакторе групповой политики: Кофигурация компьютера-Кофигурация Windows-Параметры безопасности-Конфигурация расширенной политки-Политики аудита системы-Доступ к объектам-Аудит реестра - поставил Успех/Отказ. Далее нашел нужную ветку реестра, зашел в аудит и настроил группу "Все" с галочками на "Задание параметра" и "Удаление".

В результате, в системном журнале при создании шары события появляются, но в логе не указано, кто создал шару. А я ведь ради этого все делал!

Что я упустил?

Все же хотелось бы получить хоть один ответ...

Вообще, можно ли встроенными средствами Windows отследить, кто изменил файл? Если встроенными - никак, то какое стороннее ПО это способно сделать? Лучше, конечно, freeware.

Firebolt,
Возможно подойдет Применение Аудита Windows для отслеживания деятельности пользователей, но для Server 2003. Очень мощный инструмент.

Да я вроде бы отсюда и брал инфу. Все это у меня настроено. Но в логе написано

Имя учетки не пишется! Вместо него имя компа.

Шаринг делает администратор, это однозначно. Администратора ограничить ничем невозможно.
Может, отсюда следует начать поиски?

В локальную группу администраторов могут входить различные доменные учетные записи. Вот за ними-то и надо следить. А получить права локального админа - не такая уж сложная задача.