Você precisará ativar a seguinte configuração do computador de GPO - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Políticas de Auditoria - > Auditar o acesso a objetos
Isso gerará uma entrada de log no log de segurança sempre que alguém fizer uma operação de arquivo (entre outros)
Esse irá gerar uma tonelada de logs, você provavelmente terá que enviá-los para uma máquina dedicada ao gerenciamento de logs ou aumentar o tamanho do seu log de segurança.