LastLogonDate este o versiune convertită a LastLogonTimestamp și este replicată între DC-uri cu o întârziere de până la 14 zile. Având în vedere că faceți interogări cu 30 de zile în urmă, LastLogonDate este adecvat dacă înțelegeți limitările. Mai multe despre asta mai târziu.
LastLogon NU este replicat, dar conține ultima autentificare reală a utilizatorului. Pentru a face o interogare în funcție de aceasta, trebuie să interogați fiecare DC din domeniul dvs. și să selectați cea mai recentă LastLogon, altfel nu veți obține de fapt ultima lor logare reală.
Să presupunem că interogați LastLogonDate/Timestamp și verificați pentru 30 de zile, deoarece ar putea exista o întârziere de actualizare de până la 14 zile, ar putea fi cu până la 14 zile mai vechi decât ultima logare reală. Aceasta înseamnă că lastlogontimestamp ar putea fi 28.06.2018, dar s-ar putea să se fi logat, să zicem, pe 5.07.2018 și să nu se fi actualizat lastlogontimestamp. Așadar, verificarea a 30 de zile în raport cu lastlogontimestamp înseamnă că, de fapt, verificați utilizatorii care nu s-au conectat între 15 și 30 de zile. Dacă doriți să verificați numai pentru mai mult de 30 de zile, puteți seta 45 de zile și nu veți observa unii utilizatori care nu s-au conectat între 30 și 44 de zile.
Intră Search-ADAccount:
PowerShell
|
1
|
Căutare…ADAccount -AccountInactive -Timespan (New-TimeSpan -Days 30) -UsersOnly
|
Ce este mai ușor de utilizat, în opinia mea. Ținând cont de faptul că Search-ADAccount se uită la lastlogonTimestamp care ar putea fi actualizat cu până la 14 zile în urmă. Dar, Search-ADAccount adaugă 15 zile la orice îi transmiteți pentru a ține cont de întârziere. Astfel, dacă doriți să verificați conturile care cu siguranță nu s-au conectat în ultimele 30 de zile, treceți 30 de zile. Apoi verifică lastlongontimestamp pentru date mai vechi de 45 de zile.
Indiferent, ceea ce faceți nu vă va da rezultatele pe care le căutați. Pentru a continua să folosiți lastlogon, trebuie să verificați fiecare DC. Pentru a trece la lastlogontimestamp (sau search-adaccount), trebuie să acceptați că utilizatorii care s-au conectat ultima dată între 30 și 44 de zile pot fi sau nu ratați.
.