Active Directory LastLogonTimeStamp 属性已关闭

【问题标题】:Active Directory LastLogonTimeStamp Attribute is Way OffActive Directory LastLogonTimeStamp 属性已关闭
【发布时间】:2013-12-12 00:44:16
【问题描述】:

我制作了一份报告,指出超过 60 天的陈旧帐户。对于这个时间范围,我认为可以使用来自一个 DC 的 LastLogonTimeStamp 值。即使有 9-14 天的准确性警告,它也能达到目的。

问题是,有人发现了一个看起来不正确的帐户。此帐户的 LastLogonTimeStamp 包含 2011 年 7 月的日期。该用户自 2010 年以来就没有在公司工作过。

为了解决这种差异,我查询了每个 DC 的 LastLogon 属性。所有这些要么是从不,要么是在 2010 年。

我还向每个 DC 查询了 LastLogonTimeStamp,它们都是相同的,报告日期为 2011 年 7 月。 LastLogonTimeStamp 对绝大多数用户来说都是正确的,因此不存在潜在的复制问题。

那么这个 LastLogonTimeStamp 到底是从哪里来的,怎么会这么错呢?

有什么想法吗?

非常感谢, 桑德拉

【问题讨论】:

    标签: attributes active-directory


    【解决方案1】:

    请注意,LastLogon 和 LastLogonTimestamp 属性不会使用相同的登录条件(即登录类型)进行更新。请参阅http://support.microsoft.com/default.aspx?scid=kb;EN-US;939899,它具体解释了为什么它们可能不同。

    【讨论】:

    • 谢谢。这是一个非常好的发现!看起来确实像这样的事情正在发生。在这篇文章中,MS 表示通过将您的域级别提升到 Windows 2003 Native(我们是)来解决问题,并且在一篇引用的文章中通过更新到 Windows 2003 SP1(所有 DC 都在此之上已经有一段时间了)来解决问题。但是,谁能说这是唯一一个特定类型的身份验证在某些情况下会更新 lastLogonTimestamp 而不是 lastLogon 的错误实例。虽然我无法真正证明这一点,但这很合理。再次感谢!
    【解决方案2】:

    来自The LastLogonTimeStamp Attribute – What it was designed for and how it works

    lastLogontimeStamp 属性的预期目的是帮助 识别不活动的计算机和用户帐户。 lastLogon 属性 并非旨在提供实时登录信息。默认情况下 就地设置 lastLogontimeStamp 将在 9-14 天后 当前日期。

    【讨论】:

      【解决方案3】:

      LastLogonTimeStamp 是可复制属性,但不会在每次用户成功登录时更新此属性。仅当其当前值早于当前时间减去 msDS-LogonTimeSyncInterval 属性值时,才会更新此属性。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2023-04-04
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2022-11-30
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode