Active-Directory
解釋 LastLogon 與 LastLogonTimestamp
要獲取 Windows 域的 Active Directory 中帳戶的上次登錄時間,我會查詢每個域控制器上的 LastLogon 屬性和一個域控制器上的 LastLogonTimestamp。對於我目前正在查看的特定使用者帳戶,LastLogon 屬性的值> = 180d,這是有道理的,因為該使用者帳戶最近不應該使用。但 LastLogonTimestamp 的值約為 12h。我閱讀了LastLogonTimestamp的複制要求,並且還閱讀了LastLogon並且它沒有被複製,這就是我從每個域控制器查詢值的原因。
有人可以向我解釋 LastLogonTimestamp 如何比每個域控制器的每個 LastLogon 值都更新嗎?我錯過了什麼?
由於 Kerberos 模擬模型,無需從帳戶實際登錄即可更新 LastLogonTimeStamp。
LastLogonTimeStamp 如何使用 Kerberos S4u2Self 更新
提供 LastLogonTimeStamp 是為了方便。對於擁有數百個 DC 和脫節網路拓撲的組織,可能無法直接查詢每個 DC 的 LastLogon。但是,如果您確實有權訪問每個 DC 並且正在查詢 LastLogon,則不需要 LastLogonTimeStamp。