Active-Directory

解釋 LastLogon 與 LastLogonTimestamp

  • March 29, 2022

要獲取 Windows 域的 Active Directory 中帳戶的上次登錄時間,我會查詢每個域控制器上的 LastLogon 屬性和一個域控制器上的 LastLogonTimestamp。對於我目前正在查看的特定使用者帳戶,LastLogon 屬性的值> = 180d,這是有道理的,因為該使用者帳戶最近不應該使用。但 LastLogonTimestamp 的值約為 12h。我閱讀了LastLogonTimestamp的複制要求,並且還閱讀了LastLogon並且它沒有被複製,這就是我從每個域控制器查詢值的原因。

有人可以向我解釋 LastLogonTimestamp 如何比每個域控制器的每個 LastLogon 值都更新嗎?我錯過了什麼?

由於 Kerberos 模擬模型,無需從帳戶實際登錄即可更新 LastLogonTimeStamp。

LastLogonTimeStamp 如何使用 Kerberos S4u2Self 更新

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ba-p/257135

提供 LastLogonTimeStamp 是為了方便。對於擁有數百個 DC 和脫節網路拓撲的組織,可能無法直接查詢每個 DC 的 LastLogon。但是,如果您確實有權訪問每個 DC 並且正在查詢 LastLogon,則不需要 LastLogonTimeStamp。

引用自:https://serverfault.com/questions/1097266