La función Windows 2008R2 " Grupos Especiales " permite un seguimiento detallado de los administradores de dominio cuando inician sesión en la máquina. Esto se logra al editar una clave de registro o la LSA.
¿Se puede realizar una acción similar para el Archivo, Imprimir u otros tipos de registro?
Sí. La respuesta es simplemente la auditoría de acceso a objetos anterior con la política de auditoría y las ACL de auditoría.
Primero, habilita la política de auditoría del sistema para rastrear el acceso exitoso de archivos y objetos. No se preocupe, esto no hará una cantidad insana de mensajes de registro (aunque los controladores de dominio se vuelven un poco molestos debido a las ACL de auditoría predeterminadas).
Segundo, en Active Directory o el sistema de archivos, encontrará objetos a los que desea auditar el acceso. Edite las propiedades, vaya a la configuración de seguridad avanzada / pestaña Auditoría. Luego agrega los usuarios o grupos que desea rastrear, luego selecciona el tipo de actividad que desea rastrear.
Cuando los usuarios acceden a este objeto, el sistema verifica si hay una SACL y si este tipo de acceso debería generar un mensaje de registro de eventos de seguridad.
Una descripción más completa: enlace
Lea otras preguntas en las etiquetas audit windows permissions