Para obtener la hora del último inicio de sesión de una cuenta en Active Directory de un dominio de Windows, estoy consultando el atributo LastLogon en cada controlador de dominio y LastLogonTimestamp en un controlador de dominio. Para la cuenta de usuario específica que estoy investigando actualmente, hay atributos LastLogon con valores >= 180d, lo cual tiene sentido ya que la cuenta de usuario no debería haberse utilizado recientemente. Pero LastLogonTimestamp tiene un valor de aproximadamente 12 h. Leí los requisitos de replicación deÚltima marca de tiempo de inicio de sesióny también leí sobreÚltimo inicio de sesióny que no se replica, por eso consulto el valor de cada controlador de dominio.
¿Alguien puede explicarme cómo es posible que LastLogonTimestamp sea más reciente que cada valor de LastLogon de cada controlador de dominio? ¿Qué me estoy perdiendo?
Respuesta1
LastLogonTimeStamp se puede actualizar sin iniciar sesión realmente en la cuenta, debido al modelo de suplantación de Kerberos.
Cómo se actualiza LastLogonTimeStamp con Kerberos S4u2Self
LastLogonTimeStamp se proporciona para su comodidad. Para las organizaciones que tienen cientos de DC y una topología de red inconexa, es posible que no sea posible consultar cada DC directamente para LastLogon. Sin embargo, si tiene acceso a todos los DC y está consultando LastLogon, no necesita LastLogonTimeStamp.