LastLogonDate は LastLogonTimestamp を変換したもので、最大 14 日の遅延で DC 間でレプリケートされます。 30 日前にクエリを実行するため、制限事項を理解していれば、LastLogonDate は適切です。 詳細は後述します。
LastLogonはレプリケートされませんが、ユーザーの実際の最終ログインが含まれています。 それに対してクエリを実行するには、ドメイン内のすべてのDCにクエリを実行し、最新のLastLogonを選択する必要があり、そうでなければ、実際の最終ログインを取得できません。
ここで、LastLogonDate/Timestamp をクエリして 30 日間チェックすると、最大 14 日間の更新遅延があるため、実際の最終ログインより 14 日も古い値を読み取る可能性があります。 つまり、lastlogontimestampが6/28であっても、7/5にログオンして、lastlogontimestampが更新されていない可能性があるということです。 つまり、lastlogontimestampに対して30日間チェックするということは、実際には15日から30日間ログインしていないユーザーをチェックすることになります。 もし、30日以上だけチェックしたいのであれば、45日に設定すれば、30日から44日までログインしていないユーザーを見逃すことができます。
「Search-ADAccount」の登場です。
PowerShell
|
|
Search->
|
どっちが使いやすいんでしょうか。 私見ですが Search-ADAccountは、最大14日遅れで更新される可能性のあるlastlogonTimestampを見ることを念頭に置いています。 しかし、Search-ADAccountは、その遅れを考慮し、何を渡しても15日追加します。 つまり、過去30日間ログインしていないアカウントをチェックしたい場合、30日間を渡します。 その後、45 日より古い日付の lastlongontimestamp をチェックします。
とにかく、あなたが行っていることは、あなたが求める結果を提供するものではありません。 lastlogonを使い続けるには、すべてのDCをチェックする必要があります。 lastlogontimestamp (または search-adaccount) に切り替えるには、30 日から 44 日の間に最後にログインしたユーザーが見逃されるかもしれないこと、または見逃されないかもしれないことを受け入れる必要があります
。