Чтобы получить время последнего входа учетной записи в Active Directory домена Windows, я запрашиваю атрибут LastLogon на каждом контроллере домена и LastLogonTimestamp на одном контроллере домена. Для конкретной учетной записи пользователя, которую я сейчас ищу, есть атрибуты LastLogon со значениями >= 180d, что имеет смысл, поскольку учетная запись пользователя не должна была использоваться в последнее время. Но LastLogonTimestamp имеет значение около 12h. Я прочитал требования репликацииLastLogonTimestampи я также прочитал оПоследний входи что он не реплицируется, поэтому я запрашиваю значение у каждого контроллера домена.
Может ли кто-нибудь объяснить мне, как LastLogonTimestamp может быть более поздним, чем каждое отдельное значение LastLogon из каждого контроллера домена? Что я упускаю?
решение1
LastLogonTimeStamp можно обновить без фактического входа в учетную запись благодаря модели олицетворения Kerberos.
Как LastLogonTimeStamp обновляется с помощью Kerberos S4u2Self
LastLogonTimeStamp предоставляется для удобства. Для организаций, имеющих сотни DC и разрозненную топологию сети, может быть невозможным напрямую запросить каждый DC для LastLogon. Однако, если у вас есть доступ к каждому DC и вы запрашиваете LastLogon, вам не нужен LastLogonTimeStamp.