Windows 2003 löst dieses Problem durch das Aufzeichnen eines bestimmten Ereignisses, sobald ein Benutzer tatsächlich das erste Mal in eine geöffnete Datei schreibt. Anhand der Überwachung der erfolgreichen Change-Permission-(Berechtigungen ändern-)Versuche lässt sich feststellen, ob ein Administrator Dateiberechtigungen ändert. Greift ein Benutzer auf eine Datei mit einer Zugriffsart zu, für die die Überwachung aktiviert wurde, generiert Windows 2000 die Ereignis-ID 560 (Object Open; Für ein bereits bestehendes Objekt wurde Zugriff gewährt), das den Benutzer, die Datei und die Art des Zugriffs identifiziert, die zugelassen oder abgelehnt wurden.

So könnte beispielsweise ein Fehlercode anzeigen, dass Bob versuchte, eine Datei für den Zugriff Lesen zu öffnen, obwohl er keine Berechtigung für diese Datei besitzt. Man kann hier rückschließen, dass er keinen Zugriff erhielt, da das Ereignis einen fehlgeschlagenen Objektzugriff kennzeichnet (Event Type: Failure Audit; Event Category: Object Access). Es lässt sich leicht ablesen, dass er versuchte, die Datei für einen Lesezugriff zu öffnen, da ReadData (or ListDirectory) unter Accesses aufgeführt ist.