Есть такая задача у администраторов, знать кто, когда и что. Так как на домен-контроллере события в Журнале Безопасности редко хранятся больше суток (уж больно много их плодится там), то решено было вести мониторинг с помощью отслеживания срабатывания на определенные "Event ID" в "Планировщике заданий" и последующей выборкой данных из журнала и отсылкой на почту с помощью powershell-скриптов.