Здравствуйте, Igor Grjadovkin.

Чтобы можно было отследить из под какой учетной записи удаляются файлы нужно настроить аудит доступа к файлам

подробнее тут http://support.microsoft.com/default.aspx/kb/Q310399

Здравствуйте, Igor Grjadovkin.

Для этих целей в файловой системе NTFS существует система аудита. Для того чтобы включить протоколирование нужно:
1. В проводнике выбрать папку или файл (общий ресурс) , за которым мы будем наблюдать.
2. В контекстном меню выбрать пункт свойства.
3. Перейти на вкладку безопасность. Нажать кнопочку Дополнительно.
4. В открывшихся дополнительных параметрах безопасности папки или файла перейти на вкладку Аудит.
5. Нажать на кнопочку Добавить и выбрать пользователей или группу пользователей для которых будет производится аудит (протоколирование работы с файлами и папками)
6. После выбора пользователей, необходимо выбрать события которые будут протоколироваться. Можно выбрать как аудит успехов (операция выполнена успешно) так и аудит отказов (операция выполнена с ошибкой или неуспешно). Также указываем для каких операций будет выполнятся протоколирование. Например можно настроить только удаление и изменение файлов или папок.
7. Применить параметры аудита.
После настройки аудита нужных файлов и папок, собственно необходимо включить сам аудит в системе.
Если компьютер и сервер является изолированым, и не входит в состав домена, то необходимо использовать локальную политику безопасности (Панель управления - Администрирование). Если компьютер или сервер входит в состав домена, то необходимо использовать редактор объектов групповой политики консоли mmc, и при помощи оснастки "Active Directory - пользователи и компьютеры" применить политику на подразделение, в котором находится данный компьютер или сервер.
В самой групповой политике в разделе конфигурация компьютера-конфигурация Windows-Параметры безопасности-Локальные политики-Политика аудита, найти значение Аудит доступа к объектам, и выставить значение Успех (если собираемся вести аудит успехов) и отказ (если собираемся вести аудит отказов). После изменения политики и ее применения, вся работа с файлами и папками для которых настроен аудит будет протоколориваться. Сам протокол будет находится в журнале событий безопасности (Панель управления-Админстрирование-Просмотр событий-Безопасность). Настроив фильтры, либо поиском по описанию, можно будет найти собственно событие. Например узнать какой пользователь удалил файл с определенным именем, или посмотреть кто к этому файлу обращался, и в какое время.

Здравствуйте, Igor Grjadovkin.
Для того чтобы отследить удаление\перемещение файлов необходимо настроить политики аудита.
Настройка политик аудита доступна в оснастке Групповая политика (Group Policy). Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy). Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory.
Для настройки аудита файла и папки проделайте следующее:
1. В Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду Свойства (Properties).
2. Перейдите на вкладку Безопасность (Security), а затем нажмите кнопку Дополнительно (Advanced).
3. В диалоговом окне Параметры управления доступом (Access Control Settings) перейдите на вкладку Аудит (Auditing)

4. Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5. Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
6. Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove).
7. Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) для появления диалогового окна Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder).

Примечание. Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.

8. Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto).
9. Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениямиза исключением синхронизации автономных файлов и папок, аудит которой невозможен.
10. По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.