我坐在办公室对面,Bob 正登录域,忙着工作。我打开 AD 管理中心,查看 Bob 的帐户,它告诉我他上次登录的日期是 2010 年 10 月 25 日中午。现在是 2010 年 11 月 2 日上午 10 点。
我服务器上的日期是正确的,他电脑上的日期也是正确的……这是怎么回事?
答案1
他是否自 10 月 25 日起就一直保持电脑登录状态?有些人会在晚上连续几周锁定屏幕,直到 Windows 更新强制重启。
让鲍勃注销并重新登录,查看是否已更新。
答案2
Active Directory 中有两个属性用于上次登录跟踪
lastLogon和“lastLogonTimestamp”。
第一个(lastLogon)是每个域控制器的属性,由于同步优先级较低,可能需要长达两周的时间才能同步到所有其他 DC。
同步后,它会更新所有 DC 共享的“lastLogonTimestamp”。我猜想 AD 管理中心正在查看 lastLogonTimestamp 而不是每个 DC 的值,因为它必须查询所有 DC,获取值,然后进行比较以找到最新的值并显示它。
答案3
lastLogon 是每个 DC 的属性。它不会被复制,并且存在于 Windows 2000 AD 及更高版本中。这是该帐户(用户或计算机)最后一次登录该特定 DC 的时间
lastLogonTimeStamp 是帐户属性,是在 DC 之间复制,但(默认情况下)最多可以关闭 14 天。此属性是在 Windows Server 2003 AD 中引入的。
如果我在企业中寻找陈旧的账户,我会查询 75 天或更早之前的 lastLogonTimeStamp(当我达成共识,认为超过 60 天未使用的账户是“陈旧的”)。
如果我需要知道某人登录域的确切时间,则必须查询每个 DC 的 lastLogon 属性并使用最新日期。