为了获取 Windows 域的 Active Directory 中帐户的上次登录时间,我查询了每个域控制器上的 LastLogon 属性和一个域控制器上的 LastLogonTimestamp。对于我当前正在查看的特定用户帐户,LastLogon 属性的值 >= 180d,这是有道理的,因为该用户帐户最近不应该被使用。但 LastLogonTimestamp 的值约为 12h。我读了复制要求上次登录时间戳我还阅读了上次登录并且它不会被复制,这就是我从每个域控制器查询该值的原因。
有人能向我解释一下为什么 LastLogonTimestamp 比每个域控制器的每个 LastLogon 值都更新吗?我遗漏了什么?
答案1
由于 Kerberos 模拟模型,无需实际从帐户登录即可更新 LastLogonTimeStamp。
如何使用 Kerberos S4u2Self 更新 LastLogonTimeStamp
LastLogonTimeStamp 是为了方便而提供的。对于拥有数百个 DC 和脱节网络拓扑的组织,可能无法直接查询每个 DC 的 LastLogon。但是,如果您确实可以访问每个 DC 并查询 LastLogon,则不需要 LastLogonTimeStamp。