DastiX

Поднимайте себе кастомный сислог, туда лейте аудит, и фильтруйте по заданным параметрам. Ну и эвенты конечно.

Плохо описаны начальные условия.
Вангую следующее:
1. Есть бд, есть клиент. Вы не можете править их код.
2. Клиент выгружает на рабочую станцию файлы напрямую из бд в temp.
3. Вам надо исключить возможность копирования этих фалов.

Если все это так и !в клиенте можно настраивать папку temp, и это может только админ!, то пишите свой лаунчер, который запускает нужную вам программу от привилегированного пользователя, имеющего права на переназначенную папку temp. Другие пользователи не имеют к ней доступ.
Получается ваша прога и проводник пользователя выполняются в разных acl-контекстах и не имеют к друг другу доступа.

По мне так если у сотрудника есть роль "администратор домена", то смысла нет что-то убирать. Захочет - и без шары найдет.
А если по делу, то в GPO шарить только для заданной группы, а правка GPO только для избранных.