Define mejor qué quieres decir con "pasarse archivos por la red", porque queda ambiguo. Si te refirieses a correo, supongo que no estaríamos discutiendo el problema.
Si hablas de que alguien añade un archivo en un recurso compartido, ese archivo quedará ahí a no ser que alguien lo borre. Depende de los permisos NTFS que tenga el usuario en la carpeta, así como los permisos del usuario a su vez en el recurso compartido asociado, para que sea capaz de eliminarlo una vez que ha sido copiado.
El sistema por defecto no va a registrar dichos movimientos, a no ser que previamente hubiésemos activado la auditoría sobre dicha carpeta. Por lo tanto, no vas a poder averiguar movimientos pasados, pero sí es posible que a partir de ahora puedas monitorizarlos.
También es posible instalar diversos programas de tercero que constantemente lleven el registro de esos accesos. En un artículo que he encontrado en una web (en inglés) tienes unos cuantos de ellos, aparte de explicar el método manual con la auditoría del sistema:
raymond.cc/blog/track-who-modified-or-de…ared-folder/
Por supuesto todo esto es posible siempre y cuando todos los usuarios tengan cada uno su nombre y contraseña propios (e intransferibles) y no se utilicen recursos compartidos abiertos a cuentas de invitado. Por lo tanto, todos los discos corriendo sobre sistemas de ficheros NTFS, y la red al menos en grupo de trabajo (preferiblemente dominio).
