Cómo rastrear quién ha borrado un archivo en Windows Server

Configuración de la auditoría del sistema de archivos

1. Navegue hasta el archivo compartido, haga clic con el botón derecho y seleccione "Propiedades" → Seleccione la pestaña "Seguridad" → Haga clic en el botón "Avanzado" → Vaya a la pestaña "Auditoría" → Haga clic en el botón "Añadir" → Seleccione lo siguiente:

• Principal: "Todos"
• Tipo: "Todos"
• Se aplica a: "Esta carpeta, subcarpetas y archivos"
• Permisos avanzados: "Eliminar subcarpetas y archivos" y "Eliminar"

2. Ejecute el editor de directivas de grupo (gpedit.msc) y cree y edite una nueva GPO. En concreto, vaya a → Configuración del equipo →  Configuración de Windows → Configuración de seguridad → Directivas locales → Directiva de auditoría, y configure lo siguiente:

• Auditar acceso a objetos → Definir → Correcto y Error.

3. Vaya a "Configuración de la política de auditoría avanzada" → Directivas de auditoría → Acceso a objetos, y configure lo siguiente:

• Auditar sistema de archivos → Definir →Correcto y Error.
• Auditar Manipulación de Identificadores → Definir → Correcto y Error.

4. Vincule el nuevo GPO a su servidor de archivos.
5. Aplique su cambio forzando una actualización de la Política de Grupo: Vaya a "Administración de Políticas de Grupo" → Haga clic con el botón derecho en la UO → Haga clic en "Actualización de la Política de Grupo".

Revisión de eventos

1. Abra el Visor de Eventos y busque en el registro de seguridad el ID de evento 4656 con una categoría de tarea de "Sistema de Archivos" o "Almacenamiento Extraíble" y la cadena "Accesos: DELETE".
   
2. Revise el informe. El campo "Asunto: ID de seguridad" mostrará quién ha borrado cada archivo.