ユーザーの誤ったのlastLogonTimestamp値

Question

私は最終ログオン日時を取得するには、Active Directory内のユーザーののlastLogonTimestampプロパティを使用しています、値が一致しない、

同じ問題に直面した他のいずれか？

LastLogonTimeStampを信頼できますか？

更新： あなたは、いくつかのDC（ドメインコントローラ）とのネットワークを持っていますかそれはちょうど1つのドメインコントローラ

Answer 1

ですか？ LastLogonTimeStampは、ユーザーが実際にログオンするDC上で更新され、同期に時間がかかることがあるため、同期がとれていない可能性があります。

マルク・

Answer 2

あなたはその属性が他に複製されていないため、その後のlastLogonTimestampはアカウントが「古い」成長したか否かのような何かを決定するための信頼性の高い方法ではないが、複数のDCを持つように計画している場合あなたのドメインの機能レベルに応じて、多くの（ほとんどの）シナリオでDCを使用できます。

これを決定するためのより良い方法は、（PasswordLastChanged属性を経由して）「パスワードの有効期間」を見ることです。たとえば、誰かがパスワードが期限切れになってから1〜2週間後にパスワードをリセットしていない場合（または特定の環境に応じて別の時間帯に）、孤立したアカウントがある可能性があります。

Answer 3

http://www.microsoft.com/technet/scriptcenter/topics/win2003/lastlogon.mspx

あなたがドメインコントローラの多くを持っているし、最も正確な結果を必要としない場合にのみのlastLogonTimestampを使用します。単一のドメインコントローラでlastLogon属性を使用します。ユーザがログインすると、現在の値が9〜14日齢のとき、デザインによって

Answer 4

のlastLogonTimestampにのみ更新されます。彼らはこれをADの複製トラフィックを減らすために行いました。

このblog postingはよくそれを言う：

のlastLogonTimestampの 意図目的は が非アクティブコンピュータとユーザー アカウントを識別するための属性ことに注意することが重要です。 lastLogon属性は、 ログオン情報をリアルタイムで提供するように設計されていない です。デフォルトの の設定では、 lastLogontimeStampは現在の日付より9〜14日遅れて になります。

ユーザーの実際の最後のログオン情報を取得するには、ドメイン内の各ドメインコントローラからlastLogon属性を取得し、最新の値を使用する必要があります。

Answer 5

ユーザーの実際の最後のログオン情報を取得するには、ドメイン内の各ドメインコントローラからlastLogon属性を取得し、最新の値を使用する必要があります。

残念ながら、これは完全に正確ではありません。私はlastlogon属性を使用していますが、これでテストしたほとんどのユーザーアカウントにはかなり近いですが、1600年に日付を返してくるものが多くあります。特定のユーザーがログインできなくても、たとえば自分のLastLogonが、午前8時15分にサインインしたことを知っている午前7時50分に示された。

多くの管理者は、企業ポリシーの遵守を確認するためにこの情報を使用することを望んでいるようです。残念なことにマイクロソフトは、システムの機能上の目的で、意図的にこのような意図を無視したようです。

Answer 6

ユーザーのTrueを受け取ることはできません。LastLogon lastlogonまたはlastlogontimestampのいずれの時刻も真っ直ぐではありません。最新のログオン時間を得るためにカスタム作業を行う必要があります。

LastLogonでは

は、あなたはそれ以来のlastLogonTimestamp

ことにより、真の最終ログオンとして最高のログオン時間

を取得するすべてのドメインコントローラからのクエリlastlogon値を必要とし、すべての値を比較します1つのDCからのみ照会できる反復可能な属性ですが、正確な結果は得られません。精度は約14日です（属性によって異なります）msDS-LogonTimeSy ncInterval。