gwaihir
Goto Top

ActiveDirectory Attribut "LastLogin" Bedeutung

Hallo zusammen,

ganz kurze Frage: Im AD gibt es doch in den User-Attributen die beiden Informationen "LastLogon" und "LastLogonTimestamp". Was ist der Unterschied? Beide Werte haben meistens unterschiedliche Werte. In einem Beispiel von heute steht beim ersten "nie" und beim zweiten "29.06.2017". Der betreffende User ist seit heute nach längerer Pause wieder im Dienst und meinte, dass 2017 gar nicht sein könnte, er wäre 2019 weg. Wer hat denn da Recht?

Content-Key: 666876

Url: https://administrator.de/contentid/666876

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: 148121
Lösung 148121 19.05.2021 um 11:33:27 Uhr
Goto Top
Mitglied: Doskias
Lösung Doskias 19.05.2021 aktualisiert um 11:36:16 Uhr
Goto Top
Aus der Google Suche
https://www.google.com/search?q=lastlogon+lastlogontimestamp+difference

Short Answer:
Timestamp attribute is replicated, the other one is not replicated.
Long Answer:
The difference is that lastLogonTimestamp is replicated to all Domain Controllers in your AD Forest, and lastLogon is only updated on a given local Domain Controller where login has actually happened without further replication. The catch is that local attribute is being updated each time after each login, and replicated attribute is being replicated only after certain interval (14 days by default) to save on a replication traffic.

Quelle: https://bitexperts.com/Question/Detail/3339/active-directory-lastlogon-v ....

Gruß
Doskias

PS: Hab das nur gegoogelt, weil ich die Frage interessant finde und den Unterschied AdHoc auch nicht kannte face-smile
Mitglied: NordicMike
Lösung NordicMike 19.05.2021 aktualisiert um 11:51:22 Uhr
Goto Top
Für diejenigen, die nicht googeln wollen:

Die aktuellere Zeitangabe :c)

Weil LastlogonTimestamp kann nie älter sien, als Lastlogon.

Trotzdem erklärt es nicht, warum da 2017 steht, obwohl er noch 2019 gearbeitet hat. Vermutlich hat er dann ein anderes Konto verwendet oder er hat sich lokal an einen Rechner angemeldet und nicht in der Domäne.
Mitglied: Doskias
Doskias 19.05.2021 um 12:02:46 Uhr
Goto Top
Oder, um das Worst-Case-Szenario rauszuholen:
Die Replikation zwischen den DCs funktioniert seit 2017 nicht mehr korrekt face-smile
Mitglied: NordicMike
NordicMike 19.05.2021 aktualisiert um 12:08:00 Uhr
Goto Top
Und ich hab das Szenario aus meinem Beitrag gestrichen. Das würde bedeuten, dass er mindestens 3 DCs hat:

Der erste, auf dem er nie angemeldet war
der Zweite, auf dem er 2017 angemeldet war,
der Dritte, auf dem er bis 2019 gearbeitet hat.

Wer 3 DCs im Netzwerk betreibt, kann diesen Fehler nicht von 2017 bis 2021 unbemerkt betrieben haben :c)
Mitglied: Doskias
Doskias 19.05.2021 um 12:41:02 Uhr
Goto Top
Stimmt auch wieder.

Bliebe noch die Möglichkeit, dass die Synchronisierung deaktiviert wurde für den logon-Timestamp. Siehe hier:
https://social.technet.microsoft.com/Forums/scriptcenter/en-US/d86b7495- ...

Check that lastLogontimeStamp logging hasn't been disabled by using msDS-LogonTimeSyncInterval with ADSIEDIT.msc or a similar tool. The default value is 14, but any reasonable number (it's in days) should work - 0 disables it. "Not set" is okay, that will use the default value.
Mitglied: NordicMike
NordicMike 19.05.2021 um 12:51:22 Uhr
Goto Top
Wahnsinn, man kann sich einfach auf nichts mehr verlassen :c)
Mitglied: Gwaihir
Gwaihir 19.05.2021 um 12:52:38 Uhr
Goto Top
Vielen Dank für die hilfreichen Antworten! Dann hab ich heute wieder was gelernt face-smile

Des Rätsels Lösung liegt sogar noch ganz woanders, wie ich gerade erfahren habe: der User soll sich eigentlich nur mit einem Gruppen-Account anmelden, das hat er vergessen. Das erklärt dann die 2017 bis 2019..