В локальной сети организации, в общей сетевой папке для обмена документами кто-то периодически удалял папки. Пользователей более 200. Чтоб отследить источник проблемы был применен аудит сетевой папки. Как это сделать написано далее.
Все действия выполняются на файловом сервере с Windows Server 2012 в доменной сети. Файловый сервер не является контроллером домена.
Аудит настроен через графический интерфейс. Альтернативный вариант аудита – через скрипт.
Порядок действий:
Настройка аудита в нужной сетевой папке.
Просмотр журнала событий аудита.
Для активации аудита воспользуемся локальной групповой политикой на сервере.
Нажимаем сочетание клавиш Win+R
В открывшейся строке «Выполнить» вводим команду:
gpedit.msc
В открывшемся редакторе локальной групповой политики переходим в свойства «Аудит файловой системы» по пути:
Конфигурация компьютера >> Конфигурация Windows >> Параметры безопасности >> Конфигурация расширенной политики аудита >> Политика аудита системы – Объект локальной групповой политики >> Доступ к объектам >> Аудит файловой системы (свойства).
Активируем галочкой «Настроить следующие события аудита:»
Отмечаем «Успех».
Нажимаем кнопку «ОК» для сохранения изменений.
Обновляем настройки локальной групповой политики для этого в строке «Выполнить» или в CMD вводим команду:
gpupdate /force
Настройка аудита сетевой папки.
Выбираем нужную папку.
У папки открыт общий доступ для всех на чтение/запись. 
Переходим в свойствах папки на вкладку «Безопасность». Нажимаем кнопку «Дополнительно». 
В открывшихся доп. параметрах переходим на вкладку «Аудит». Нажимаем кнопку «Продолжить». 
Добавляем новый элемент для аудита. 
Нажимаем на строчку «Выберите субъект». 
Можно указать каких-то конкретных пользователей или всех сразу, написав Все. 
В доменной сети можно создать группы в AD и назначать аудит по группам.
Далее выбираем:
Тип: Успех.
Применяется к: Для этой папки, её подпапок и файлов.
Нажимаем строчку «Отображение дополнительных разрешений».
Отмечаем галочкой:
Удаление подпапок и файлов.
Удаление.
Нажимаем ОК для сохранения настроек. 
Аудит можно настроить не только на удаление, но на любые действия, список которых предоставляет система.
Закрываем свойства папки и переходим в журнал событий.
Просмотр журнала событий аудита.
Нажимаем сочетание клавиш Win+R.
Вводим команду
eventvwr.msc
В журнал можно так же попасть через Панель управления >> Система и безопасность >> Просмотр журнала событий.
Открываем Журналы Windows и нажимаем правой кнопкой мыши на вкладке «Безопасность».
Выбираем из раскрывшегося меню «Создать настраиваемое представление…».
В строке код события указываем 4663.
Для удобства использования пишем понятное название при сохранении фильтра.
На этом настройки завершены. Теперь любое удаление файла или папки отображается в отдельном списке. Внизу в подробностях можно посмотреть кто и что удалил.
Аудит не поможет вернуть удаленные файлы, для этого должно выполнятся создание резервных копий. Но знание участников действий поможет выполнять контроль и поддерживать порядок в сети.