解釋 LastLogon 與 LastLogonTimestamp

要獲取 Windows 域的 Active Directory 中帳戶的上次登錄時間，我會查詢每個域控制器上的 LastLogon 屬性和一個域控制器上的 LastLogonTimestamp。對於我目前正在查看的特定使用者帳戶，LastLogon 屬性的值> = 180d，這是有道理的，因為該使用者帳戶最近不應該使用。但 LastLogonTimestamp 的值約為 12h。我閱讀了LastLogonTimestamp的複制要求，並且還閱讀了LastLogon並且它沒有被複製，這就是我從每個域控制器查詢值的原因。

有人可以向我解釋 LastLogonTimestamp 如何比每個域控制器的每個 LastLogon 值都更新嗎？我錯過了什麼？

由於 Kerberos 模擬模型，無需從帳戶實際登錄即可更新 LastLogonTimeStamp。

LastLogonTimeStamp 如何使用 Kerberos S4u2Self 更新

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ba-p/257135

提供 LastLogonTimeStamp 是為了方便。對於擁有數百個 DC 和脫節網路拓撲的組織，可能無法直接查詢每個 DC 的 LastLogon。但是，如果您確實有權訪問每個 DC 並且正在查詢 LastLogon，則不需要 LastLogonTimeStamp。

引用自：https://serverfault.com/questions/1097266