Flea:

Estas incorrecto, si bien las sessiones usan archivos, estos archivos se almacenan en el session_savepath, pero si se envia un cookie al cliente con el session_id, asi PHP sabe que session corresponde a que cliente, de ahi vienen los problemas y los ataques XSS, inyectan sessiones manualmente y recuperan datos de otros usuarios pero este es otro tema.

RunningWild:

Para poder "cerrar" las sessiones de una manera mas efectiva, te recomiendo sobrecargues el motor de sessiones e implementes una base de datos donde almacenes que usuarios estan logueados, asi puedes hacer un update, sacar a todos del sistema y realizar el proceso que necesitas.

Borrar manualmente de la carpeta session_savepath si es una opcion PERO si estas en un servidor compartido, seguramente no tendras los permisos para borrar de session_savepath ya que esto afectaria a todos los procesos de TODOS los usuarios no nadamas del tuyo.

Saludos.