4
LastLogon vs LastLogontimestamp
Servus allerseits,
mir ist heute in unserem ActiveDirectory bei dem Benutzer DOMAIN\Administrator folgendes aufgefallen:
DC1:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 14.03.2021 13:00:50
DC2:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 10.03.2021 13:00:50
DC3:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 02.03.2021 13:00:50
Mehr als diese drei Domänencontroller gibt es nicht, ich habe jedoch erwartet, dass mindestens einer dieser drei das Attribut LastLogon mindestens auf LastLogontimestamp gesetzt hat.
Hintergrund der Sache ist, dass wir das Kennwort des Administrator-Kontos der Domäne zurücksetzen und das Konto grundsätzlich nicht mehr verwenden wollen. Hierzu wollte ich vorab prüfen, ob das Konto noch irgendwo (z.B. im Backup) verwendet wird. In den Ereignisanzeigen der Domänencontroller wird ein Login zum im Timestamp angegebenen Zeitraum nicht geloggt.
Kann jemand das obige Verhalten erklären? Möglicherweise habe ich ja einen Denkfehler.
Viele Grüße
mir ist heute in unserem ActiveDirectory bei dem Benutzer DOMAIN\Administrator folgendes aufgefallen:
DC1:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 14.03.2021 13:00:50
DC2:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 10.03.2021 13:00:50
DC3:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 02.03.2021 13:00:50
Mehr als diese drei Domänencontroller gibt es nicht, ich habe jedoch erwartet, dass mindestens einer dieser drei das Attribut LastLogon mindestens auf LastLogontimestamp gesetzt hat.
Hintergrund der Sache ist, dass wir das Kennwort des Administrator-Kontos der Domäne zurücksetzen und das Konto grundsätzlich nicht mehr verwenden wollen. Hierzu wollte ich vorab prüfen, ob das Konto noch irgendwo (z.B. im Backup) verwendet wird. In den Ereignisanzeigen der Domänencontroller wird ein Login zum im Timestamp angegebenen Zeitraum nicht geloggt.
Kann jemand das obige Verhalten erklären? Möglicherweise habe ich ja einen Denkfehler.
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 664907
Url: https://administrator.de/contentid/664907
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
ich habe das soeben mal bei uns nachgestellt. Hier ist sogar LastLogontimestamp älter als LastLogon ...
E.
ich habe das soeben mal bei uns nachgestellt. Hier ist sogar LastLogontimestamp älter als LastLogon ...
E.
Hi,
das ist nicht unüblich, da LastLogonTimestamp je nach Konstellation nicht sofort aktualisiert wird. Da dies aber in diesem Fall aktuell ist, müsste ja mindestens ein DC einen entsprechenden LastLogon aufweisen.
LastLogonTimestamp ist z.B. für das aufspüren von inaktiven Konten gedacht, LastLogon hingegen wird direkt am betroffenen DC sofort aktualisiert und im Gegensatz zu ersterem nicht repliziert.
das ist nicht unüblich, da LastLogonTimestamp je nach Konstellation nicht sofort aktualisiert wird. Da dies aber in diesem Fall aktuell ist, müsste ja mindestens ein DC einen entsprechenden LastLogon aufweisen.
LastLogonTimestamp ist z.B. für das aufspüren von inaktiven Konten gedacht, LastLogon hingegen wird direkt am betroffenen DC sofort aktualisiert und im Gegensatz zu ersterem nicht repliziert.
Ja, schon klar.
Das ist der Grund, warum ich bei meinen Abfragen nie auf LastLogonTimestamp umgestiegen bin. Ich frage nach wie vor über alle DC LastLogon ab und nehme den aktuellsten Wert.
Das ist der Grund, warum ich bei meinen Abfragen nie auf LastLogonTimestamp umgestiegen bin. Ich frage nach wie vor über alle DC LastLogon ab und nehme den aktuellsten Wert.
Das macht natürlich Sinn, wenn man die Daten genau braucht. Wir filtern regelmäßig > 6 Monate, da kommt es nicht so darauf an.
Nach erster Einschätzung scheint meine Frage hier aber nicht so einfach zu klären zu sein...
Nach erster Einschätzung scheint meine Frage hier aber nicht so einfach zu klären zu sein...
