Um die Zeit der letzten Anmeldung eines Kontos in einem Active Directory einer Windows-Domäne zu ermitteln, frage ich das LastLogon-Attribut auf jedem Domänencontroller und den LastLogonTimestamp auf einem Domänencontroller ab. Für das spezifische Benutzerkonto, das ich gerade untersuche, gibt es LastLogon-Attribute mit Werten >= 180d, was sinnvoll ist, da das Benutzerkonto nicht kürzlich verwendet worden sein sollte. Aber der LastLogonTimestamp hat einen Wert von etwa 12h. Ich habe die Replikationsanforderungen von gelesenLetzterAnmeldezeitstempelund ich habe auch nachgelesenLetzte Anmeldungund dass es nicht repliziert wird, weshalb ich den Wert von jedem Domänencontroller abfrage.
Kann mir jemand erklären, wie es möglich ist, dass der LastLogonTimestamp aktueller ist als jeder einzelne LastLogon-Wert von jedem Domänencontroller? Was übersehe ich?
Antwort1
Aufgrund des Kerberos-Identitätswechselmodells kann LastLogonTimeStamp ohne eine tatsächliche Anmeldung vom Konto aktualisiert werden.
So wird LastLogonTimeStamp mit Kerberos S4u2Self aktualisiert
LastLogonTimeStamp wird als Annehmlichkeit bereitgestellt. Für Organisationen mit Hunderten von DCs und einer unzusammenhängenden Netzwerktopologie ist es möglicherweise nicht möglich, jeden DC direkt nach LastLogon abzufragen. Wenn Sie jedoch Zugriff auf jeden DC haben und LastLogon abfragen, benötigen Sie LastLogonTimeStamp nicht.