ActiveLogのlastLogonとlastLogonTimestampの比較
従業員が会社を辞めました。私は彼のADアカウントが最後にいつログインしたかを調べようとします-解雇前か後か。
ユーザープロパティウィンドウには、lastLogonとlastLogonTimestampの2つの属性があります。 lastLogon日付が解雇日より前ですが、lastLogonTimestamp日付が後です解任日まで(この場合、セキュリティ上の問題が発生します)。
これらの属性のどれが実際の最後のADアカウントのログイン時間を示しているかを知る方法は?それらの違いは何ですか?
最新の属性を使用します。
Lastlogonは、認証を実行するドメインコントローラでのみ更新され、複製されません。
LastLogontimestampは複製されますが、デフォルトでは、それが以前の値より14日以上古い場合のみです。
TL; DR-最も正確なログオン時間が必要な場合は、すべてのドメインコントローラからlastLogon属性を照会する必要があります。 ±19日の許容範囲であれば、最も近いドメインコントローラーからlastLogonTimestampを読み取るだけで済みます。
lastLogon
この属性は複製されず、ドメイン内の各ドメインコントローラーで個別に維持されます。ドメインでのユーザーの最後のログオンの正確な値を取得するには、ユーザーのLast-Logon属性をドメイン内のすべてのドメインコントローラーから取得する必要があります。取得される最大値は、そのユーザーの実際の最終ログオン時間です。
https://docs.Microsoft.com/en-us/windows/desktop/adschema/a-lastlogon#remarks
lastLogonTimestamp
ユーザーがログオンするたびに、この属性の値がDCから読み取られます。値が古い場合[current_time-
msDS-LogonTimeSyncInterval]、値が更新されます。ドメイン機能レベルの引き上げ後の最初の更新は、14日から5日のランダムな割合を差し引いて計算されます。
https://docs.Microsoft.com/en-us/windows/desktop/adschema/a-lastlogontimestamp
ノート:
- 両方の日付は
FILETIME(Int64in .Net/PowerShell)プログラムでそれらを取得する場合。 - PowerShellには、
LastLogonDateプロパティも用意されています。私はこれを確認するためにマイクロソフト固有のドキュメントを提供することを望みましたが、ほとんどの情報源は言い、私のテストはそれがlastLogonTimestampがl̲o̲c̲a̲l̲DateTime値に変換されたことを確認します。