O log de eventos de segurança e o acesso a objetos de auditoria seriam a maneira "suportada" de fazer isso sem a adição de software de terceiros. Não há funcionalidade embutida, caso contrário, isso faria o que você está procurando.
A pesquisa por arquivos por data não é uma má idéia (você pode obter uma porta Win32 do utilitário Unix find
para ajudar com isso), mas não é absolutamente garantido que um usuário não tenha alterado o horário de modificação em um arquivo. Não é 100% infalível como o Security Event Log, mas não é irracional.
Se as pastas sobre as quais você está falando estiverem sendo replicadas pelo DFS-R, suponho que você possa usar os logs do DFS-R (em %SystemRoot%\System32\Debug
) para tentar rastrear novas criações de arquivos (por meio de seus eventos de replicação). também.