Воставновление и поиск вредителя , лазаем по корзине
 

В общем у нас завелся вредитель удаляющие чужие файлы из общих папок.

данные востановил

хочу найти вредителя.
логи не настроены на сервере
но есть идея.

1) Если человек удаляет файс по сети то он ложиться в корзину его ?

т.е. фактически нужно востановить корзину , найти файл и можно бить !!

2) В корзине очень много файлов и все они с измененными названиями. в общем я воспользовался r studio и есть дам п корзины , может кто посоветует как проще найти в этом омуте нужные файлы ?

Нет.

если в логах нет, включите аудит событий

Видимо, надо настроить. Уже всплывала ссылка про аудит в Windows.

Нет.
В основную корзину помещаются только локальные файлы.
Также дополнительные корзины имеют перемещаемые папки доменных пользователей и другие сетевые папки, для которых включено использование локальных копий. (корзина с удалёнными файлами синхронизируется наравне с остальными файлами).

Настрой

В сетевую корзину помещаются не только папки с кэшированием. Простой редирект MyDocuments тоже заставляет корзину работать.

подскажите, ...

захожу в просмотр событий - безопасность - делаю фильтр по 4663(удаление), два часа назад показал что 3 файла удалено, юзеры по сети постарались, сейчас смотрю снова события и снова по 4663 - ниодного не показывает ..... это как так?? а куда делись предыдущие логи? или я не там смотрю ....

сильно не пинайте, только начинаю осваивать серв2008р2.

noname-net, забился журнал и старые записи удалились.