1. Habilitar auditoría:
- Abra el Editor de políticas de grupo local (gpedit.msc).
- Vaya a "Política de computadora local> Configuración de computadora> Configuración de Windows> Configuración de seguridad> Configuración de política de auditoría avanzada".
- En "Acceso a objetos", habilite las siguientes opciones de auditoría:
- "Sistema de archivos de auditoría"
- "Auditar archivo compartido"
- "Acceso al servicio de directorio de auditoría"
- Haga clic en "Aplicar" y luego en "Aceptar" para habilitar la auditoría.
2. Verifique los registros del visor de eventos:
- Abra el Visor de eventos (Eventvwr.msc) en Windows Server.
- Expanda "Registros de Windows> Seguridad".
- Filtrar los registros de seguridad por el ID de evento "4663" (Objeto eliminado).
3. Analizar los detalles del evento:
- Haga doble clic en el evento "Objeto eliminado" correspondiente.
- En los detalles del evento, busque los siguientes campos:
- "Usuario":La cuenta de usuario que realizó la eliminación.
- "Computadora":La computadora desde la cual se eliminó el archivo.
- "Ruta del archivo de destino":la ruta completa al archivo eliminado.
- "Nombre de archivo":El nombre del archivo que se eliminó.
Al combinar estos pasos, puede detectar quién eliminó un archivo en Windows Server a través de eventos de políticas de auditoría registrados en los registros del Visor de eventos.