Eu encontrei a causa. Isso é por causa do EFS. Se um usuário criptografar um arquivo e se ele não tiver um perfil móvel, um perfil local será criado no servidor.
Descobri que vários dos nossos servidores de arquivos têm um punhado de perfis de usuários locais (ou seja, em C: \ Usuários no servidor) para usuários que obviamente não têm permissão para efetuar logon diretamente (interativo, remoto, etc.) para esses servidores.
Por meio de algumas análises das pastas e logs de eventos, primeiro confirmei que os usuários finais não tinham logons diretos para esses servidores e, em segundo, para correlacionar a hora e a hora de criação de uma das pastas de perfil do usuário com um logon do tipo 3 (logon de rede) - é basicamente o tipo de logon que é feito quando um usuário acessa um recurso compartilhado como um compartilhamento de arquivo (consulte link ). Não é preciso dizer que isso parece muito incomum, pois esses tipos de logons não devem criar perfis de usuário.
Isso parece ocorrer apenas ocasionalmente, como em algumas semanas um perfil de usuário é criado, mesmo em servidores de arquivos ocupados. Neste ponto, estou pensando que isso pode ser causado por algum bug obscuro do Windows que pode ter sido corrigido por uma atualização que não foi aprovada. Observe que isso está acontecendo em várias versões do Windows Server. Eu já vi isso em pelo menos 2008 R2 e 2012 R2.
Eu pesquisei na rede alta e baixa e estou tendo dificuldade em encontrar qualquer menção a esse tipo de ocorrência, então eu agradeceria se alguém pudesse responder a qualquer uma das minhas perguntas relacionadas a este assunto: alguém já viu isso antes? ? Alguém encontrou uma solução para isso? Existe uma atualização especial do Windows que corrigiu isso? Alguma outra ideia?