En primer lugar tienes que habilitar las auditorías en una GPO que afecte al servidor (o en las políticas locales si no tienes dominio).
Tienes que habilitar las auditorías de inicio de sesión (para los inicios de sesión locales en el servidor) y de inicio de sesión de cuenta (para registrar las conexiones realizadas a través de la red), y también las de acceso a objetos.
Una vez hecho, y en lo referente a esta última, tienes que irte a las carpetas cuyo contenido quieres auditar, y en las propiedades avanzadas de seguridad, pestaña auditorías, seleccionas a que usuarios quieres auditar (puede ser a todos o especificar usuarios o grupos) y qué quieres auditarles en esa rama de carpetas (creación de archivos, borrado, etc).
En todos los casos puedes auditar solo los eventos erroneos (por ejemplo intentar acceder a un objeto sin tener los permisos adecuados, intentar iniciar sesión o conectarse con un usuario sin derechos de hacerlo, etc) o también los correctos, pero ten en cuenta que auditar también los correctos hará que el registro de eventos de seguridad, que es donde luego verás los resultados, crezca considerablemente.
esto se puede hacer bajo windos server..que SO usas para tu server??
La solución que planteas no reflejaría a usuarios que trabajen en la web, o que trabajen en local no? además imagino que volcaría una cantidad de logs...
Sobre lo logins, ya lo hago con "ocs inventory", audito cuando los usuarios hacen login, pero quería dar un paso más y buscar alguna herramienta que reflejase el tiempo de uso real de los ordenadores.
No se si me explico bien, quiero registrar cuando un usuario está utilizando el ordenador, haga lo que haga, sin ser importarme el qué, sino el cuando. Por eso, lo enfoqué en auditar cuando un ordenador registra movimientos del ratón o teclado.
Da igual que el registro se haga a nivel de usuario o de ordenador.
Por cierto, creo que el ocs inventory no lo hace, no lo he visto por ningún lado, vamos si lo hiciese ya estaría resuelto.