4
LastLogon vs LastLogontimestamp
Servus allerseits,
mir ist heute in unserem ActiveDirectory bei dem Benutzer DOMAIN\Administrator folgendes aufgefallen:
DC1:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 14.03.2021 13:00:50
DC2:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 10.03.2021 13:00:50
DC3:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 02.03.2021 13:00:50
Mehr als diese drei Domänencontroller gibt es nicht, ich habe jedoch erwartet, dass mindestens einer dieser drei das Attribut LastLogon mindestens auf LastLogontimestamp gesetzt hat.
Hintergrund der Sache ist, dass wir das Kennwort des Administrator-Kontos der Domäne zurücksetzen und das Konto grundsätzlich nicht mehr verwenden wollen. Hierzu wollte ich vorab prüfen, ob das Konto noch irgendwo (z.B. im Backup) verwendet wird. In den Ereignisanzeigen der Domänencontroller wird ein Login zum im Timestamp angegebenen Zeitraum nicht geloggt.
Kann jemand das obige Verhalten erklären? Möglicherweise habe ich ja einen Denkfehler.
Viele Grüße
mir ist heute in unserem ActiveDirectory bei dem Benutzer DOMAIN\Administrator folgendes aufgefallen:
DC1:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 14.03.2021 13:00:50
DC2:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 10.03.2021 13:00:50
DC3:
LastLogontimestamp -> 19.03.2021 11:00:01
LastLogon -> 02.03.2021 13:00:50
Mehr als diese drei Domänencontroller gibt es nicht, ich habe jedoch erwartet, dass mindestens einer dieser drei das Attribut LastLogon mindestens auf LastLogontimestamp gesetzt hat.
Hintergrund der Sache ist, dass wir das Kennwort des Administrator-Kontos der Domäne zurücksetzen und das Konto grundsätzlich nicht mehr verwenden wollen. Hierzu wollte ich vorab prüfen, ob das Konto noch irgendwo (z.B. im Backup) verwendet wird. In den Ereignisanzeigen der Domänencontroller wird ein Login zum im Timestamp angegebenen Zeitraum nicht geloggt.
Kann jemand das obige Verhalten erklären? Möglicherweise habe ich ja einen Denkfehler.
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664907
Url: https://administrator.de/contentid/664907
Printed on: April 26, 2024 at 04:04 o'clock
4 Comments
Latest comment
Hi,
ich habe das soeben mal bei uns nachgestellt. Hier ist sogar LastLogontimestamp älter als LastLogon ...
E.
ich habe das soeben mal bei uns nachgestellt. Hier ist sogar LastLogontimestamp älter als LastLogon ...
E.
Hi,
das ist nicht unüblich, da LastLogonTimestamp je nach Konstellation nicht sofort aktualisiert wird. Da dies aber in diesem Fall aktuell ist, müsste ja mindestens ein DC einen entsprechenden LastLogon aufweisen.
LastLogonTimestamp ist z.B. für das aufspüren von inaktiven Konten gedacht, LastLogon hingegen wird direkt am betroffenen DC sofort aktualisiert und im Gegensatz zu ersterem nicht repliziert.
das ist nicht unüblich, da LastLogonTimestamp je nach Konstellation nicht sofort aktualisiert wird. Da dies aber in diesem Fall aktuell ist, müsste ja mindestens ein DC einen entsprechenden LastLogon aufweisen.
LastLogonTimestamp ist z.B. für das aufspüren von inaktiven Konten gedacht, LastLogon hingegen wird direkt am betroffenen DC sofort aktualisiert und im Gegensatz zu ersterem nicht repliziert.
Ja, schon klar.
Das ist der Grund, warum ich bei meinen Abfragen nie auf LastLogonTimestamp umgestiegen bin. Ich frage nach wie vor über alle DC LastLogon ab und nehme den aktuellsten Wert.
Das ist der Grund, warum ich bei meinen Abfragen nie auf LastLogonTimestamp umgestiegen bin. Ich frage nach wie vor über alle DC LastLogon ab und nehme den aktuellsten Wert.
Das macht natürlich Sinn, wenn man die Daten genau braucht. Wir filtern regelmäßig > 6 Monate, da kommt es nicht so darauf an.
Nach erster Einschätzung scheint meine Frage hier aber nicht so einfach zu klären zu sein...
Nach erster Einschätzung scheint meine Frage hier aber nicht so einfach zu klären zu sein...
