LastLogonDate è una versione convertita di LastLogonTimestamp ed è replicata tra i DC con un ritardo massimo di 14 giorni. Dato che stai interrogando 30 giorni indietro, LastLogonDate è appropriato se capisci le limitazioni. Ne parleremo più avanti.

LastLogon NON è replicato, ma contiene l’ultimo accesso effettivo dell’utente. Per eseguire una query su questo devi interrogare ogni DC nel tuo dominio e selezionare il LastLogon più recente, altrimenti non otterrai effettivamente l’ultimo accesso effettivo.

Ora diciamo che interroghi LastLogonDate/Timestamp e controlli per 30 giorni, dal momento che potrebbe esserci un ritardo di aggiornamento fino a 14 giorni, potrebbe leggere fino a 14 giorni più vecchio dell’ultimo accesso effettivo. Ciò significa che lastlogontimestamp potrebbe essere 6/28, ma potrebbero essersi collegati diciamo il 7/5 e non aver aggiornato lastlogontimestamp. Quindi controllare per 30 giorni rispetto a lastlogontimestamp significa che state davvero controllando gli utenti che non hanno effettuato l’accesso da 15 a 30 giorni. Se vuoi controllare solo per oltre 30 giorni, puoi impostarlo a 45 giorni e perdere alcuni utenti che non hanno effettuato l’accesso da 30 a 44 giorni.

In arriva Search-ADAccount:

Che è più facile da usare, secondo me. Tenendo presente che Search-ADAccount guarda il lastlogonTimestamp che potrebbe essere aggiornato fino a 14 giorni dopo. Ma, Search-ADAccount aggiunge 15 giorni a qualsiasi cosa gli passiate per tenere conto del ritardo. Quindi, se volete controllare gli account che certamente non hanno effettuato l’accesso negli ultimi 30 giorni, gli passate 30 giorni. Poi controlla il lastlongontimestamp per date più vecchie di 45 giorni.

In ogni caso, quello che state facendo non vi darà i risultati che state cercando. Per continuare a usare lastlogon, devi controllare ogni DC. Per passare a lastlogontimestamp (o search-adaccount), devi accettare che gli utenti che hanno effettuato l’ultimo accesso da 30 a 44 giorni possano essere mancati o meno.

.