Istruzioni valide per Xp professional all'interno di un workgroup. Assolutamente non valido per xp home e per i pc inseriti in un dominio.

1) Loggati come amministratore
2) Verifica che sia disabilitata la condivisione file semplice (pannello di controllo->Opzioni cartella->Scheda visualizzazione->deseleziona la voce "utilizza condivisione file semplice")
3) Ipotizziamo tu voglia controllare l'accesso alla cartella c:\privato e a tutto il suo contenuto. Click col tasto destro del mouse sulla cartella->proprietà->Scheda protezione->Pulsante "Avanzate..."->Scheda "controllo"-> pulsante "aggiungi..."
4) Inserisci il nome dell'utente che vuoi controllare e premi ok
5) Seleziona le operazioni che vuoi che vengano loggate. Fa' attenzione che più opzioni scegli e più saranno le voci nel log... e quindi più macchinoso trovare quello che cerchi.
Premi ok
6) Premi ancora ok. Un avviso ti avvertirà che il controllo non è ancora attivato. Lo faremo tra poco. Premi ok e ancora ok. Tutte le finestre dovrebbero essere state chiuse.
7) Pannello di controllo->strumenti di amministrazione->Criteri di protezione locali
8) Nell'albero a destra naviga in Criteri locali->Criteri controllo. Nella sezione di destra sono ora presenti i criteri di controllo.
9) Fai doppio click sulla voce "controlla accesso agli oggetti". Seleziona la voce "operazioni riuscite"
10) a questo punto il controllo è attivo. Ogni volta che l'utente che hai selezionato esegue le operazioni che hai specificato sui file e cartelle contenuti in c:\privato verrano creati degli avvisi nella sezione Protezione del visualizzatore eventi.
11) per visualizzare questi avvisi: pannello di controllo->strumenti di amministrazione->Visualizzatore eventi-> nell'albero di destra seleziona "Protezione". In questo modo visualizzerai gli eventi di protezione. tra questi saranno presenti gli accessi/modifiche etc... ai file della cartella controllata.


Attenzione che ogni accesso genera più di un evento. Se quindi l'utente controllato continua a navigare in quella cartella genererà una sfilza piuttosto lunga di voci. Il codice evento che più ti deve interessare è il 560. Se per esempio nelle regole hai impostato di monitorare solo gli accessi in scrittura tutti gli eventi 560 ti indicheranno qual è l'oggetto (file o cartella) interessato.

Ripeto, la cosa è macchinosa e non proprio immediata da usare. Un consiglio... cerca di monitorare un solo diritto di accesso se non vuoi rimanere seppellito dai log (ad esempio la scrittura). Altro consiglio, monitora solo l'account utente che sospetti venga usato per l'accesso. Monitorare il tuo account durante il normale utilizzo non ha senso.... a meno che attivi il criterio locale solo in tua assenza.