Active Directory LastLogonTimeStamp 属性已关闭

Question

我制作了一份报告，确定了 60 天以上的陈旧帐户。对于这一时间范围，我认为使用一个 DC 的 LastLogonTimeStamp 值就可以了。即使有 9-14 天的准确度警告，它也达到了目的。

问题是，有人发现了一个似乎不正确的帐户。此帐户的 LastLogonTimeStamp 包含 2011 年 7 月的日期。该用户自 2010 年以来就不再在该公司工作。

为了解决此差异，我查询了每个 DC 的 LastLogon 属性。它们全部要么是从不，要么是 2010 年。

我还查询了每个 DC 的 LastLogonTimeStamp，它们都是相同的，报告的日期是 2011 年 7 月。 LastLogonTimeStamp 对于绝大多数用户来说都是正确的，因此不存在潜在的复制问题。

那么这个 LastLogonTimeStamp 到底是从哪里来的，怎么会这么错误呢？

有什么想法吗？

非常感谢， 桑德拉

Answer 1

请注意，LastLogon 和LastLogonTimestamp 属性不会使用相同的登录条件（即登录类型）进行更新。请参阅 http://support.microsoft.com/default.aspx? scid=kb;EN-US;939899 具体解释了它们可能不同的原因。

Answer 2

来自 LastLogonTimeStamp 属性 – 它的设计目的及其工作原理

lastLogontimeStamp 属性的预期目的是为了提供帮助
识别不活动的计算机和用户帐户。最后登录属性
并非旨在提供实时登录信息。默认情况下
设置的lastLogontimeStamp 将晚于9-14 天
当前日期。

Answer 3

LastLogonTimeStamp 是可复制属性，但该属性不会在用户每次成功登录时更新。仅当该属性的当前值早于当前时间减去 msDS-LogonTimeSyncInterval 属性的值时，才会更新该属性。