lastLogon vs. lastLogonTimestamp in Active Directory

Un dipendente ha lasciato l'azienda. Cerco di scoprire quando il suo account AD è stato effettuato per l'ultima volta - se era prima del licenziamento o dopo.

Ci sono questi 2 attributi nella finestra delle proprietà dell'utente: lastLogon e lastLogonTimestamp . La data di lastLogon è precedente alla data di licenziamento, ma la data di lastLogonTimestamp è posteriore alla data di licenziamento (quindi in questo caso avremmo un problema di sicurezza).

Come sapere quale di questi attributi mostra l'ora effettiva dell'ultimo accesso all'account AD? Qual'è la differenza tra loro?

Usa l'attributo più recente.

Lastlogon viene aggiornato solo sul controller di dominio che esegue l'autenticazione e non viene replicato.

LastLogontimestamp viene replicato, ma per impostazione predefinita solo se è più vecchio di 14 giorni rispetto al valore precedente.

http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

TL; DR : se si desidera il tempo di accesso più accurato, è necessario interrogare l' lastLogonattributo da tutti i controller di dominio. Se una tolleranza di ± 19 giorni è accettabile, puoi semplicemente leggere lastLogonTimestampdal controller di dominio più vicino.

lastLogon

Questo attributo non viene replicato e viene gestito separatamente su ciascun controller di dominio nel dominio. Per ottenere un valore accurato per l'ultimo accesso dell'utente nel dominio, l'attributo Ultimo accesso per l'utente deve essere recuperato da ogni controller di dominio nel dominio. Il valore più grande che viene recuperato è l'ora dell'ultimo accesso effettivo per quell'utente.

https://docs.microsoft.com/en-us/windows/desktop/adschema/a-lastlogon#remarks

lastLogonTimestamp

Ogni volta che un utente accede, il valore di questo attributo viene letto dal controller di dominio. Se il valore è più vecchio [current_time - msDS-LogonTimeSyncInterval], il valore viene aggiornato. L'aggiornamento iniziale dopo l'innalzamento del livello funzionale del dominio viene calcolato come 14 giorni meno una percentuale casuale di 5 giorni.

https://docs.microsoft.com/en-us/windows/desktop/adschema/a-lastlogontimestamp

Appunti:

1. Entrambe le date vengono memorizzate come FILETIME( Int64in .Net / PowerShell) se le si recupera a livello di codice.
2. PowerShell fornisce anche una LastLogonDateproprietà. Avrei preferito fornire la documentazione specifica di Microsoft per confermarlo, ma la maggior parte delle fonti dice e il mio test conferma che è lastLogonTimestampconvertito in un DateTimevalore l̲o̲c̲a̲l̲ .