Теоретически - аудит, как уже сказано ранее. Практически - это надо сидеть и постоянно чистить логи аудита, иначе никаких дисков не хватит.
Из практики - в 90% случаев файл или каталог не удалён. Просто какое-то нерадивое чмо неловким движением мыша переместило его в какой-то каталог. Обычно - даже не заметив этого (оно само, случайно, зацепилось). Опять же из практики - подобное пропадание на Window Server - минимум 2-3 раза в месяц, а на столь же интенсивно использовавшемся Novell Netware, где подобное перемещение было запрещено соотв. атрибутом файловой системы - 2 или 3 раза за более чем 10 лет.
Настоятельно рекомендую посмотреть в сторону программного обеспечения, которое носит общее название "Сетевая корзина". Суть проста - удалённый по сети файл помещается в корзину так же, как если он удалён в локальном сеансе от имени локальной учётной записи. И восстановить просто, и видно, кто и когда удалил. А если файла в корзине нет - это те самые 90%, см. выше.