Para auditar el acceso a objetos, lo primero que se tiene que hacer es activar la directiva "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Directiva de auditoría\Auditar el acceso a objetos". Con ella activa que se auditen los éxitos en los accesos y los fracasos (es decir, éxito cuando un usuario autorizado accede sin problemas y fracaso cuando un usuario no autorizado es rechazado al acceder). Esto se puede hacer en una GPO que afecte al equipo donde se quiere auditar o con las políticas del sistema (gpedit.msc) del equipo donde se quiere auditar; en caso de tratarse de un controlador de dominio, por fuerza se deberá hacer por GPO, pues los DC's no tienen políticas del sistema.

Una vez activada esa directiva, se hace click derecho sobre la carpeta o fichero en el que se quiere establecer la auditoría, propiedades, pestaña "Seguridad", "Avanzadas", pestaña "Auditoría" y se estableces el usuario/grupo al que se le aplica la auditoría y qué se controlará con ella exáctamente. Este artículo te explica las auditorías posibles:

Auditar la configuración en objetos
http://www.microsoft.com/windows2000/es/advanced/help/default.asp?url=/windows2000/es/advanced/help/sag_SEconceptsUnAudDS.htm

Una vez hecho todo esto, los registros de la auditoría se verán en el visor de sucesos, en seguridad, del equipo que contiene los archivos y carpetas auditados.

No quiero que se me quede en el tintero el comentar que se hace bien al restringir la auditoría al menor número de usuarios y carpetas/ficheros. Las auditorías deben hacerse lo más restrictivas posibles en cuanto a número de objetos auditados y usuarios a los que se audita, pues el sistema lo primero que hace es registrar la auditoría, con lo que si a todos los usuarios y objetos se les tiene auditados, es tremendo el uso de procesador, accesos a disco y tráfico de red que se hará, con el consiguiente empeoramiento del rendimiento del equipo y de la red.

Una última cosa. Cuando se activan auditorías, es recomendable que se active la política "Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Apagar el sistema de inmediato si no se puede registrar auditorías de seguridad". Esta política lo que hace, es que cuando se llena el registro de sucesos de seguridad, de forma que al hacer un intento de escribir un suceso de seguridad no se pueda, el equipo hace shutdown y sólo podrá iniciar sesión en el equipo un administrador, para borrar el registro (guardándolo antes en un fichero, claro). Para que este mecanismo funcione, en el visor de sucesos tienes que hacer click derecho sobre "Seguridad", propiedades, y en la pestaña "Seguridad" seleccionar la opción "No sobrescribir sucesos (borrado manual)"; quizás interese también hacer más grande el tamaño del registro (que de forma predeterminada es de 512 KB).