LastLogonDate é uma versão convertida do LastLogonTimestamp e é replicada entre CDs com um atraso de até 14 dias. Como você está consultando 30 dias atrás, a LastLogonDate é apropriada se você entender as limitações. Mais sobre isso mais tarde.

LastLogon NÃO é replicado, mas contém o último login real do usuário. Para fazer uma consulta contra isso você tem que consultar cada CD no seu domínio e selecionar o LastLogon mais recente, caso contrário você não terá o último logon real deles.

Agora diga que você consulta LastLogonDate/Timestamp e verifique por 30 dias, já que pode ser um atraso de atualização de até 14 dias, pode ler até 14 dias mais antigo que seu último logon real. Isso significa que o lastlogontimestamp pode ser 6/28, mas eles podem ter feito login digamos 7/5 e ele não tem lastlogontimestamp atualizado. Portanto, verificar durante 30 dias em relação ao lastlogontimestamp significa que você está realmente verificando por usuários que não fizeram login de 15 a 30 dias. Se você quiser verificar por mais de 30 dias apenas, você pode definir para 45 dias e perder alguns usuários que não fizeram o login de 30 a 44 dias.

In vem Search-ADAccount:

Que é mais fácil de usar, na minha opinião. Tendo em conta que a Search-ADAccount olha para o último logonTimestamp que pode ser actualizado até 14 dias atrás. Mas, o Search-ADAccount adiciona 15 dias ao que quer que você passe para contabilizar o atraso. Portanto, se você quiser verificar contas que certamente não entraram nos últimos 30 dias, você as passa 30 dias. Ele então verifica o último carimbo da última hora para datas com mais de 45 dias.

Independentemente, o que você está fazendo não vai lhe dar os resultados que você está procurando. Para continuar a usar o lastlogon, você deve verificar cada CD. Para mudar para o lastlogontimestamp (ou conta de pesquisa), você tem que aceitar que os usuários que fizeram o último login de 30 a 44 dias podem ou não ser perdidos.