Já tentou verificar "Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto"?
Eu estava tentando auditar o acesso a arquivos em um servidor Windows 2008 R2, e (minha culpa) habilitou-o para o volume inteiro (digamos, disco e :). É claro que eu estava recebendo muitas entradas no log de segurança, uma grande quantia para lidar - e ainda maior ao tentar entender como isso funciona. De qualquer forma, eu deletei a SACL para o volume (Properties, Security, Advanced, Audit), mas todo o acesso a arquivos continuava sendo auditado. Se eu desabilitar a auditoria de acesso a objetos nas diretivas locais, o sistema interromperá o registro, mas quando eu criar uma pasta de teste, definir sua SACL e habilitar a auditoria, todo o acesso ao objeto de disco começará a ser auditado novamente, mesmo quando sua SACL estiver vazia. Eu também configurei e excluía a SACL no primeiro nível de pasta, apenas no caso de ser um problema de herança, mas não obtive resultados. Vocês podem me ajudar com isso? Eu não estou usando auditoria avançada, a propósito. T.I.A.
Jorge
Já tentou verificar "Substituir todas as entradas de auditoria herdáveis existentes em todos os descendentes por entradas de auditoria herdáveis deste objeto"?