若要取得 Windows 網域的 Active Directory 中帳戶的上次登入時間,請查詢每個網域控制站上的 LastLogon 屬性和一個網域控制站上的 LastLogonTimestamp。對於我目前正在研究的特定使用者帳戶,LastLogon 屬性的值 >= 180d,這是有意義的,因為該使用者帳戶最近不應該被使用。但 LastLogonTimestamp 的值約為 12h。我閱讀了複製要求上次登入時間戳我還閱讀了最後登入並且它不會被複製,這就是我從每個網域控制器查詢該值的原因。
有人可以向我解釋一下 LastLogonTimestamp 如何可能比每個網域控制器中的每個 LastLogon 值更新嗎?我缺什麼?
答案1
由於 Kerberos 模擬模型,無需從帳戶實際登入即可更新 LastLogonTimeStamp。
如何使用 Kerberos S4u2Self 更新 LastLogonTimeStamp
提供 LastLogonTimeStamp 是為了方便起見。對於擁有數百個 DC 和脫節網路拓撲的組織,可能無法直接查詢每個 DC 的 LastLogon。但是,如果您確實有權存取每個 DC 並且正在查詢 LastLogon,則不需要 LastLogonTimeStamp。