W2k3 R2 SP2, пользователи работают в терминальном режиме, можно ли средствами системы отследить кто из пользователей удалил файл? Или надо ставить дополнительную прогу, чтобы мониторить подобные действия пользователей? Вообще в таких случаях файл извлекаю из бэкапа. Но все же хотелось бы пожурить конкретного юзера. Спасибо.

разрешения и аудит для файлов и каталогов (http://www.oszone.net/4024/File_and_Folder_Permissions)

На сколько я понимаю без AD это не заработает? Или я ошибаюсь?

Заработает. gpedit.msc - настраивайте параметры аудита для сервера, в свойствах папок включаете аудит нужных событий.

Вроде немного разобрался. В «политики аудита/аудит доступа к объектам» включил успех. В «свойствах папки/аудит» включил удаление. По удалению одного файла в журнале появляется аж 7 событий: 560,567,564,562,560,567,562. Чтобы мне найти событие по удалению определенного файла я включаю фильтр по событию 560 и далее мне приходится вручную все это просматривать. Может все-таки есть возможность сразу отфильтровать событие по имени файла?