Всем привет!

Моя задача - отслеживать, кто занимается расшариванием папок на компе с Windows 7. Для этого я настроил аудит реестра на ветку HKLM\SYSTEM\CurrentControlSet\services\LanmanServer\Shares\. Аудит настраивал в Редакторе групповой политики: Кофигурация компьютера-Кофигурация Windows-Параметры безопасности-Конфигурация расширенной политки-Политики аудита системы-Доступ к объектам-Аудит реестра - поставил Успех/Отказ. Далее нашел нужную ветку реестра, зашел в аудит и настроил группу "Все" с галочками на "Задание параметра" и "Удаление".

В результате, в системном журнале при создании шары события появляются, но в логе не указано, кто создал шару. А я ведь ради этого все делал!

Что я упустил?

Все же хотелось бы получить хоть один ответ...

Вообще, можно ли встроенными средствами Windows отследить, кто изменил файл? Если встроенными - никак, то какое стороннее ПО это способно сделать? Лучше, конечно, freeware.

Firebolt,
Возможно подойдет Применение Аудита Windows для отслеживания деятельности пользователей (http://blog.windowsnt.lv/2011/08/31/tracking-user-activity-russian/), но для Server 2003. Очень мощный инструмент.

Возможно подойдет »

Да я вроде бы отсюда и брал инфу. Все это у меня настроено. Но в логе написано

Имя учетной записи: IVC-XX-X (то есть написано имя компа, а не юзера)
Домен: (какой есть на самом деле)
Код входа: ...

Имя учетки не пишется! Вместо него имя компа.

Шаринг делает администратор, это однозначно. Администратора ограничить ничем невозможно.
Может, отсюда следует начать поиски?

Шаринг делает администратор, это однозначно. Администратора ограничить ничем невозможно. »

В локальную группу администраторов могут входить различные доменные учетные записи. Вот за ними-то и надо следить. А получить права локального админа - не такая уж сложная задача.