joedevlin
Goto Top

LastLogon vs LastLogontimestamp

Servus allerseits,

mir ist heute in unserem ActiveDirectory bei dem Benutzer DOMAIN\Administrator folgendes aufgefallen:

DC1:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 14.03.2021 13:00:50

DC2:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 10.03.2021 13:00:50

DC3:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 02.03.2021 13:00:50

Mehr als diese drei Domänencontroller gibt es nicht, ich habe jedoch erwartet, dass mindestens einer dieser drei das Attribut LastLogon mindestens auf LastLogontimestamp gesetzt hat.

Hintergrund der Sache ist, dass wir das Kennwort des Administrator-Kontos der Domäne zurücksetzen und das Konto grundsätzlich nicht mehr verwenden wollen. Hierzu wollte ich vorab prüfen, ob das Konto noch irgendwo (z.B. im Backup) verwendet wird. In den Ereignisanzeigen der Domänencontroller wird ein Login zum im Timestamp angegebenen Zeitraum nicht geloggt.

Kann jemand das obige Verhalten erklären? Möglicherweise habe ich ja einen Denkfehler.

Viele Grüße

Content-ID: 664907

Url: https://administrator.de/forum/lastlogon-vs-lastlogontimestamp-664907.html

Ausgedruckt am: 25.12.2024 um 17:12 Uhr

emeriks
emeriks 19.03.2021 um 15:10:26 Uhr
Goto Top
Hi,
ich habe das soeben mal bei uns nachgestellt. Hier ist sogar LastLogontimestamp älter als LastLogon ...

2021-03-19 15_08_51-window

E.
JoeDevlin
JoeDevlin 19.03.2021 aktualisiert um 15:20:22 Uhr
Goto Top
Hi,

Zitat von @emeriks:
Hier ist sogar LastLogontimestamp älter als LastLogon ...

das ist nicht unüblich, da LastLogonTimestamp je nach Konstellation nicht sofort aktualisiert wird. Da dies aber in diesem Fall aktuell ist, müsste ja mindestens ein DC einen entsprechenden LastLogon aufweisen.

LastLogonTimestamp ist z.B. für das aufspüren von inaktiven Konten gedacht, LastLogon hingegen wird direkt am betroffenen DC sofort aktualisiert und im Gegensatz zu ersterem nicht repliziert.
emeriks
emeriks 19.03.2021 um 15:29:20 Uhr
Goto Top
Ja, schon klar.
Das ist der Grund, warum ich bei meinen Abfragen nie auf LastLogonTimestamp umgestiegen bin. Ich frage nach wie vor über alle DC LastLogon ab und nehme den aktuellsten Wert.
JoeDevlin
JoeDevlin 20.03.2021 um 17:29:54 Uhr
Goto Top
Das macht natürlich Sinn, wenn man die Daten genau braucht. Wir filtern regelmäßig > 6 Monate, da kommt es nicht so darauf an.

Nach erster Einschätzung scheint meine Frage hier aber nicht so einfach zu klären zu sein...