LastLogonDate ist eine konvertierte Version von LastLogonTimestamp und wird zwischen DCs mit einer Verzögerung von bis zu 14 Tagen repliziert. Da Sie 30 Tage zurück abfragen, ist LastLogonDate geeignet, wenn Sie die Einschränkungen verstehen. Mehr dazu später.
LastLogon wird NICHT repliziert, sondern enthält die tatsächliche letzte Anmeldung des Benutzers. Um das abzufragen, müssen Sie jeden DC in Ihrer Domäne abfragen und das letzte LastLogon auswählen, sonst erhalten Sie nicht die tatsächliche letzte Anmeldung.
Angenommen, Sie fragen LastLogonDate/Timestamp ab und prüfen 30 Tage lang. Da es eine Aktualisierungsverzögerung von bis zu 14 Tagen geben kann, könnte der Wert bis zu 14 Tage älter als die tatsächliche letzte Anmeldung sein. Das bedeutet, dass der letzte LogonZeitstempel der 28.6. sein könnte, die Person sich aber vielleicht am 5.7. angemeldet hat und der letzte LogonZeitstempel nicht aktualisiert wurde. Wenn Sie also 30 Tage lang nach dem letzten Logbuchzeitstempel suchen, suchen Sie eigentlich nach Benutzern, die sich zwischen 15 und 30 Tagen nicht angemeldet haben. Wenn Sie nur nach mehr als 30 Tagen suchen möchten, können Sie den Wert auf 45 Tage setzen und einige Benutzer übersehen, die sich zwischen 30 und 44 Tagen nicht angemeldet haben.
Hier kommt Search-ADAccount:
PowerShell
|
1
|
Suche-.ADAccount -AccountInactive -Timespan (New-TimeSpan -Days 30) -UsersOnly
|
Was einfacher zu bedienen ist, meiner Meinung nach. Dabei ist zu beachten, dass Search-ADAccount den lastlogonTimestamp betrachtet, der bis zu 14 Tage zurückliegen kann. Search-ADAccount fügt jedoch 15 Tage zu dem hinzu, was Sie ihm übergeben, um die Verzögerung zu berücksichtigen. Wenn Sie also nach Konten suchen wollen, die sich in den letzten 30 Tagen nicht angemeldet haben, geben Sie 30 Tage ein. Anschließend wird der lastlongontimestamp auf Daten geprüft, die älter als 45 Tage sind.
Das, was Sie jetzt tun, wird Ihnen nicht die gewünschten Ergebnisse liefern. Um weiterhin lastlogon zu verwenden, müssen Sie jeden DC überprüfen. Wenn Sie zu lastlogontimestamp (oder search-adaccount) wechseln, müssen Sie in Kauf nehmen, dass Benutzer, die sich zwischen 30 und 44 Tagen zuletzt angemeldet haben, möglicherweise nicht gefunden werden.