Здравствуйте, ogrushenkov, Вы писали:

O>Нужен пример кода или, хотя бы, идея каким образом можно фиксировать действия пользователя в системе. Что-то типа:
O>* 10:00 user Иванов вошел в систему
O>* 10:15 user Иванов запустил MS Word
O>* 10:30 ...
O>* 18:00 user Иванов вышел из системы

O>Заранее благодарен.

Ну давай думать

ИДИОТКИЕ СПОСОБЫ:

Тебе нужен log on/log off.
1) приложение в автозапуске всех пользователей
2) переписывание GINA DLL (функции wlx***)

Тебе нужен запуск процесса.
Если речь идёт о логе действий пользователя, то перехвата CreateProcess/ShellExecure будет достаточно.
Можно так же перехватывать все открытия/закрытия файла (см FileMon на www.sysinternals.com). Это ИМХО более надёжно.

НОРМАЛЬНЫЙ СПОСОБ:

Пойти и включить аудит на всё что нужно. NTFS + Event Log рулит