要获取 Windows 域的 Active Directory 中帐户的上次登录时间,我会查询每个域控制器上的 LastLogon 属性和一个域控制器上的 LastLogonTimestamp。对于我当前正在查看的特定用户帐户,LastLogon 属性的值> = 180d,这是有道理的,因为该用户帐户最近不应该使用。但 LastLogonTimestamp 的值约为 12h。我阅读了LastLogonTimestamp的复制要求,并且还阅读了LastLogon并且它没有被复制,这就是我从每个域控制器查询值的原因。
有人可以向我解释 LastLogonTimestamp 如何比每个域控制器的每个 LastLogon 值都更新吗?我错过了什么?
由于 Kerberos 模拟模型,无需从帐户实际登录即可更新 LastLogonTimeStamp。
LastLogonTimeStamp 如何使用 Kerberos S4u2Self 更新
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/how-lastlogontimestamp-is-updated-with-kerberos-s4u2self/ba-p/257135
提供 LastLogonTimeStamp 是为了方便。对于拥有数百个 DC 和脱节网络拓扑的组织,可能无法直接查询每个 DC 的 LastLogon。但是,如果您确实有权访问每个 DC 并且正在查询 LastLogon,则不需要 LastLogonTimeStamp。