Detectar quem excluiu um arquivo no Windows Server requer a habilitação de políticas de auditoria. Veja como configurar a auditoria e identificar o usuário responsável pela exclusão:

1. Ativar auditoria:
- Abra o Editor de Política de Grupo Local (gpedit.msc).
- Vá para "Política do computador local> Configuração do computador> Configurações do Windows> Configurações de segurança> Configuração avançada da política de auditoria".
- Em "Acesso a objetos", habilite as seguintes opções de auditoria:
- "Sistema de Arquivos de Auditoria"
- "Compartilhamento de arquivos de auditoria"
- "Acesso ao serviço de diretório de auditoria"
- Clique em “Aplicar” e depois em “OK” para ativar a auditoria.

2. Verifique os registros do visualizador de eventos:
- Abra o Visualizador de Eventos (Eventvwr.msc) no Windows Server.
- Expanda "Logs do Windows> Segurança".
- Filtre os logs de segurança pelo ID do evento "4663" (Objeto Excluído).

3. Analise os detalhes do evento:
- Clique duas vezes no evento "Objeto excluído" relevante.
- Nos detalhes do evento procure os seguintes campos:
- “Usuário”:A conta do usuário que realizou a exclusão.
- "Computador":O computador do qual o arquivo foi excluído.
- "Caminho do arquivo de destino":O caminho completo para o arquivo excluído.
- "Nome do arquivo":O nome do arquivo que foi excluído.

Ao combinar essas etapas, você pode detectar quem excluiu um arquivo no Windows Server por meio de eventos de política de auditoria registrados nos logs do Visualizador de Eventos.