Можно ли узнавать, с какого компа в локалке была изменена папка?
 

У меня есть такой вопрос: возможно ли (теоретически) существование такого ПО/железа, с помощью которого можно было бы узнавать, с какого компа в локалке была изменена папка, находящаяся в расшаренном доступе, причём традиционные кейлоггеры исключаются?
Если да, тогда обрисую следующую ситуацию. Есть локалка, файлы (и папки) хранятся на сервере, включённом в состав локалки. На клиенте установлена Windows 98 на FAT32, на сервере - произвольная файловая система и ОС (если вообще такое возможно - обращение по сети к незнакомой данной ОС файловой системе). Некто, работая за клиентом, несанкционированно переименовывает папки, хранящиеся в расшаренном доступе на сервере.
Вопрос: существует ли ПО/железо, с помощью котого можно узнать, с какого компа была переименована папка, и, если существует, то как оно называется и где его взять?
Вопрос №2: как обойти это, как сделать так, чтобы работа этого ПО/железа была блокирована, и как стереть следы предыдущего переименования?
Подсказка: идея основана на том, что каждый файл имеет владельца, и после переименования чужой папки владелец меняется.

E
У последних маздаев есть такая хрень, как аудит. Настраивается для объекта в параметрах безопасности -> дополнительно. Соответственно скрыть следы, при использовании данного способа, можно почистив журналы (в крайнем случае - удали, но тогда будет видно кто удалял) аудита на сервере, соот-но нужен туда доступ.
Думаю под никсами аналогичная фишка есть (думаю даже удобнее и производительнее), имеет смысл спросить в том разделе, а то тамошние спецы, к-ые могут дать развернутый ответ, нечасто этот раздел читают...

А чем, собственно, штатный аудит, например вин 2к, 2003 не устраивает??