Кто и когда удалил файл windows file server

Для начала открываем gpedit.msc и идём в конфигурация компьютера -> конфигурация windows -> параметры безопасности -> локальные политики -> политики аудита где включаем Аудит доступа к объектам на успех чтобы знать кто удалил файл и на отказ чтобы знать кто пытался но не смог.

Затем открываем просмотр событий (eventvwr.msc) и разворачиваем журналы windows, нам нужен журнал безопасности. Открываем свойства и выставляем размер журнала (мне хватило 500032).

Потом нажимаем в любом месте ПКМ и выбираем создать настраиваемое представление где в коды событий вводим 4663 а в ключевые слова аудит успеха. После нажатия на ОК нам явится окно предлагающее выбрать куда кинуть представление и как его назвать, тут всё зависит от вашей фантазии.

Последним пунктом надо выбрать папки для аудита: открываем свойства нужной папки и переходим на вкладку безопасность и нажимаем дополнительно. Переходим на вкладку Аудит и нажимаем добавить там выбираем всех пользователей (группа все или everyone) и ставим галочки напротив пунктов удаление, удаление подпапок и файлов.

Готово, теперь в этом представлении вы всегда сможете увидеть кто, когда и что удалил.