[Diesel315]

Отвечаю сам себе.
И так политику аудита как написал выше включили выше на КД. Повлиять на это я никак не могу, ну да и не надо особо. В общем на локальном сервере заходим в Локальную политику безопасности (secpol.msc) и переходим в "Конфигурация расширенной политики аудита" (из названия думаю понятно, что это такое) также нужно включить переопределение, что это такое и где включить написано как только вы зайдете в "Конфигурация расширенной политики аудита". Для себя в этом меню настроил только доступ к объектам/аудит файловой системы...
Все теперь журнал безопасность пустой (даже не фиксируется вход выход (это можно также настроить)), кроме нужного мне аудита создания/удаления файлов (событие 4663) общих ресурсов...