LastLogonDate es una versión convertida de LastLogonTimestamp y se replica entre DCs con un retraso de hasta 14 días. Dado que usted está consultando 30 días atrás, LastLogonDate es apropiado si usted entiende las limitaciones. Más adelante hablaremos de ello.

LastLogon NO se replica, pero contiene el último inicio de sesión del usuario. Para consultar contra eso tienes que consultar cada DC en tu dominio y seleccionar el LastLogon más reciente, de lo contrario no obtendrás realmente su último inicio de sesión real.

Ahora digamos que consulta LastLogonDate/Timestamp y comprueba 30 días, ya que podría haber un retraso de actualización de hasta 14 días, podría leer hasta 14 días más viejo que su último inicio de sesión real. Esto significa que la última fecha de inicio de sesión podría ser el 28 de junio, pero podría haber iniciado la sesión, por ejemplo, el 5 de julio y no haber actualizado la última fecha de inicio de sesión. Así que la comprobación de 30 días con respecto a lastlogontimestamp significa que realmente está comprobando los usuarios que no se han conectado de 15 a 30 días. Si quieres comprobar más de 30 días sólo, puedes establecerlo en 45 días y perder algunos usuarios que no han iniciado sesión de 30 a 44 días.

Entra Buscar-ADAccount:

Que es más fácil de usar, en mi opinión. Teniendo en cuenta que Search-ADAccount mira el lastlogonTimestamp que podría estar actualizado hasta 14 días atrás. Pero, Search-ADAccount añade 15 días a lo que le pases para tener en cuenta el retraso. Por lo tanto, si quiere buscar cuentas que ciertamente no se han conectado en los últimos 30 días, le pasa 30 días. A continuación, comprueba el lastlongontimestamp para las fechas más antiguas de 45 días.

De todos modos, lo que está haciendo no le va a dar los resultados que busca. Para seguir utilizando lastlogon, debe comprobar cada DC. Para cambiar a lastlogontimestamp (o search-adaccount), tienes que aceptar que los usuarios que se han conectado por última vez de 30 a 44 días pueden o no perderse.