Windows 2019: não consigo descobrir por que minha unidade está cheia

Você pode tentar o WizTree (wiztreefree.com), que é semelhante ao WinDirStat, mas ignora o driver do sistema de arquivos e lê o MFT diretamente se for executado como administrador. Ele mostrará o espaço ocupado por fluxos de dados alternativos, arquivos de metadados ($MFT, $Secure, $BadClus, etc.) e diretórios aos quais você não tem acesso. Parece não mostrar o espaço alocado para índices de diretório e pode perder algumas outras coisas, mas não ficaria surpreso se o culpado aparecesse.

Não consegui mais editar meu comentário, então o postei como resposta.

Já conheci um incidente assim: foi devido ao Alternate Data Streams, um recurso do NTFS para compatibilidade clássica do MacOS em pastas compartilhadas. Infelizmente, esse recurso malfadado pode ser usado para fins maliciosos. Em termos simples, pode ser usado para encher o disco, mas o espaço reservado não pode ser localizado, como no seu caso. Se você quiser verificar isso, sugiro a ferramenta MS sysinternals,fluxos.

Apenas tome cuidado, pois eles são usados ​​em alguns casos legítimos, por exemplo, o servidor MS SQL anterior a 2014 os utiliza.

As permissões padrão C:\System Volume Informationsão NT AUTHORITY\SYSTEM:(OI)(CI)F. Isso significa que mesmo quando você executa como administrador, normalmente não consegue ver os arquivos nele. Você pode usar, por exemplo, psexecpara iniciar um aplicativo na conta do Sistema Local, o que permitirá WinDirStat et. al. para exibir tudo ou você pode usá-lo para adicionar Administratorsà ACL. Em particular, se você estiver usando versões anteriores, as cópias de sombra do volume serão armazenadas neste diretório e poderão ficar muito grandes.

Isso foi muito útil. Descobri que o Windows Server 2019 definiu o tamanho padrão do log de diagnóstico de cluster de failover para 18014398507384832Kb (!) para que o disco do servidor estivesse cheio. WinDirStat não mostrou este arquivo .EVTX, mas WizTree o identificou. Salvou o dia.