LastLogonDate est une version convertie de LastLogonTimestamp et est répliquée parmi les DC avec un retard pouvant atteindre 14 jours. Puisque vous faites des requêtes sur 30 jours en arrière, LastLogonDate est approprié si vous comprenez les limitations. Plus à ce sujet plus tard.
LastLogon n’est PAS répliqué, mais contient la dernière connexion réelle de l’utilisateur. Pour faire une requête contre cela, vous devez interroger chaque DC de votre domaine et sélectionner le LastLogon le plus récent, sinon vous n’obtiendrez pas réellement leur dernière connexion réelle.
Maintenant, disons que vous interrogez LastLogonDate/Timestamp et vérifiez pendant 30 jours, puisque leur pourrait être un retard de mise à jour de jusqu’à 14 jours, il pourrait lire jusqu’à 14 jours plus vieux que leur dernière connexion réelle. Cela signifie que le lastlogontimestamp peut être le 6/28, mais qu’il peut s’être connecté le 7/5 et que le lastlogontimestamp n’a pas été mis à jour. Ainsi, la vérification de 30 jours par rapport au lastlogontimestamp signifie que vous vérifiez réellement les utilisateurs qui ne se sont pas connectés entre 15 et 30 jours. Si vous vouliez vérifier uniquement les plus de 30 jours, vous pouvez le définir à 45 jours et manquer certains utilisateurs qui ne se sont pas connectés de 30 à 44 jours.
Vient Search-ADAccount :
PowerShell
|
1
|
Search-ADAccount -AccountInactive -Timespan (New-TimeSpan -Days 30) -UsersOnly
|
Qui est le plus facile à utiliser, à mon avis. En gardant à l’esprit que Search-ADAccount regarde le lastlogonTimestamp qui pourrait être mis à jour jusqu’à 14 jours en arrière. Mais Search-ADAccount ajoute 15 jours à ce que vous lui passez pour tenir compte du retard. Ainsi, si vous voulez vérifier les comptes qui ne se sont certainement pas connectés au cours des 30 derniers jours, vous lui passez 30 jours. Il vérifie ensuite le lastlongontimestamp pour les dates supérieures à 45 jours.
Malgré tout, ce que vous faites ne va pas vous donner les résultats que vous recherchez. Pour continuer à utiliser lastlogon, vous devez vérifier chaque DC. Pour passer à lastlogontimestamp (ou search-adaccount), vous devez accepter que les utilisateurs qui se sont connectés pour la dernière fois entre 30 et 44 jours puissent ou non être manqués.
>