Я обнаружил, что на некоторых из наших файловых серверов есть несколько локальных профилей пользователей (например, в C: \ Users на сервере) для пользователей, которые, очевидно, не имеют разрешения на прямой вход (интерактивный, удаленный и т. Д.) На эти серверы.
Путем некоторого анализа папок и журналов событий я смог, во-первых, подтвердить, что у конечных пользователей не было прямого входа на эти серверы, а во-вторых, сопоставить точное время и дату создания одной из папок профиля пользователя с входом в систему. типа 3 (сетевой вход) - это в основном тип входа в систему, который выполняется, когда пользователь получает доступ к общему ресурсу, например, к общему файловому ресурсу (см. https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4624). Излишне говорить, что это кажется очень необычным, поскольку такие типы входа в систему не должны создавать профили пользователей.
Кажется, что это происходит очень редко, например, каждые несколько недель создается профиль пользователя, даже на загруженных файловых серверах. На данный момент я думаю, что это может быть вызвано какой-то непонятной ошибкой Windows, которая могла быть исправлена обновлением, которое мы не одобрили. Обратите внимание, что это происходит в нескольких версиях Windows Server. Я видел это как минимум на 2008 R2 и 2012 R2.
Я искал в сети по всему миру, и мне трудно даже найти какое-либо упоминание об этом типе происшествий, поэтому я был бы признателен, если бы кто-нибудь мог ответить на любой из моих вопросов, связанных с этой проблемой: кто-нибудь видел это раньше? Кто-нибудь нашел исправление? Есть ли конкретный Центр обновления Windows, который это исправил? Есть другие идеи?
Я нашел причину. Это из-за EFS. Если пользователь зашифровывает файл и у него нет перемещаемого профиля, то на сервере создается локальный профиль.