Para obter a hora do último logon de uma conta em um Active Directory de um domínio do Windows, estou consultando o atributo LastLogon em cada controlador de domínio e o LastLogonTimestamp em um controlador de domínio. Para a conta de usuário específica que estou analisando atualmente, existem atributos LastLogon com valores> = 180d, o que faz sentido, pois a conta de usuário não deveria ter sido usada recentemente. Mas o LastLogonTimestamp tem um valor de cerca de 12h. Eu li os requisitos de replicação deLastLogonTimestampe eu também li sobreÚltimo logone que ele não é replicado, por isso consulto o valor de cada controlador de domínio.
Alguém pode me explicar como é possível que LastLogonTimestamp seja mais recente do que cada valor LastLogon de cada controlador de domínio? o que estou perdendo?
Responder1
LastLogonTimeStamp pode ser atualizado sem um logon real da conta, devido ao modelo de representação Kerberos.
Como LastLogonTimeStamp é atualizado com Kerberos S4u2Self
LastLogonTimeStamp é fornecido como uma conveniência. Para organizações que possuem centenas de controladores de domínio e uma topologia de rede separada, talvez não seja possível consultar cada controlador de domínio diretamente para LastLogon. No entanto, se você tiver acesso a todos os controladores de domínio e estiver consultando o LastLogon, não precisará do LastLogonTimeStamp.