Active Directory中的lastLogon与lastLogonTimestamp

一名员工离开了公司。我试图找出他的广告帐户最后一次登录的时间-是在解雇之前还是之后。

用户属性窗口中有以下两个属性：lastLogon和lastLogonTimestamp。lastLogon日期早于解雇日期，但lastLogonTimestamp日期在解雇日期之后（因此，在这种情况下，我们会遇到安全问题）。

如何知道这些属性中的哪一个显示实际的上次AD帐户登录时间？它们之间有什么区别？

使用最新属性。

Lastlogon仅在执行身份验证的域控制器上更新，并且不被复制。

LastLogontimestamp已复制，但默认情况下仅比前一个值早14天或更长时间。

http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

TL; DR-如果需要最准确的登录时间，则必须lastLogon从所有域控制器查询属性。如果可接受的公差为±19天，则可以lastLogonTimestamp从最近的域控制器读取。

lastLogon

此属性不会复制，并且在域中的每个域控制器上分别维护。若要获取用户在域中最后一次登录的准确值，必须从域中的每个域控制器中检索用户的Last-Logon属性。检索到的最大值是该用户的真实上次登录时间。

https://docs.microsoft.com/zh-CN/windows/desktop/adschema/a-lastlogon#remarks

lastLogonTimestamp

每当用户登录时，都会从DC读取此属性的值。如果该值旧[current_time- msDS-LogonTimeSyncInterval]，则更新该值。域功能级别提高后的初始更新计算为14天减去5天的随机百分比。

https://docs.microsoft.com/zh-CN/windows/desktop/adschema/a-lastlogontimestamp

笔记：

1. 如果以编程方式检索它们，则两个日期都将存储为FILETIME（Int64.Net / PowerShell中的）。
2. PowerShell还提供了一个LastLogonDate属性。我本来希望提供Microsoft特定的文档来确认这一点，但是大多数消息人士都说，而且我的测试证实，它已lastLogonTimestamp转换为l̲o̲c̲a̲l̲ DateTime值。