Active Directory 是否存储上次用户登录信息?

问题描述 投票:0回答:1

更具体地说 - Active Directory 是否将此信息存储在计算机以外的地方?我在域环境中丢失了一台计算机,我不是 AD 管理员,但对所有计算机拥有 admin+ 权限。 SCCM 有此信息,但并不总是最新的。我还检查了 Active Directory 管理中心中的计算机名称,没有看到登录信息。我已经查看了命令的 PowerShell 输出:

Get-ADComputer -Identity "ComputerName" -Properties * \Some information was removed or changed.                     
                                                        Is it the lastLogon field?\
AccountExpirationDate                :
accountExpires                       : 9223372036854775807
AccountLockoutTime                   :
AccountNotDelegated                  : False
AllowReversiblePasswordEncryption    : False
AuthenticationPolicy                 : {}
AuthenticationPolicySilo             : {}
BadLogonCount                        : 0
badPasswordTime                      : 0
badPwdCount                          : 0
CannotChangePassword                 : False
CanonicalName                        : 
Certificates                         : {}
CN                                   : ComputerName
codePage                             : 0
CompoundIdentitySupported            : {False}
countryCode                          : 0
Created                              : 4/29/2019 1:16:25 PM
createTimeStamp                      : 4/29/2019 1:16:25 PM
Deleted                              :
Description                          : Refresh 5/1/19
DisplayName                          :
DistinguishedName                    :
DNSHostName                          :
DoesNotRequirePreAuth                : False
dSCorePropagationData                : {4/9/2024 10:14:37 AM, 2/22/2024 6:24:42 PM, 5/31/2023 8:05:06 PM, 3/28/2023
                                       9:31:20 AM...}
Enabled                              : True
HomedirRequired                      : False
HomePage                             :
instanceType                         : 4
IPv4Address                          :
IPv6Address                          :
isCriticalSystemObject               : False
isDeleted                            :
KerberosEncryptionType               : {RC4, AES128, AES256}
LastBadPasswordAttempt               :
LastKnownParent                      :
lastLogoff                           : 0
lastLogon                            : 133541980705291112
LastLogonDate                        : 2/29/2024 4:26:29 AM
lastLogonTimestamp                   : 133536831896176074
localPolicyFlags                     : 0
Location                             :
LockedOut                            : False
logonCount                           : 7217
ManagedBy                            :
MemberOf                             :                                                         MNSLogonAccount                      : False
Modified                             : 3/5/2024 9:06:40 AM
modifyTimeStamp                      : 3/5/2024 9:06:40 AM
msDS-KeyCredentialLink               : COSD12549
nTSecurityDescriptor                 : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory                       : 
ObjectClass                          : computername
ObjectGUID                           : 74a97a55-3909-4597-bdc3-d944a1589f6b
objectSid                            : S-1-5-21-1220945662-1606980848-1801674531-289388
OperatingSystem                      : Windows 11 Enterprise
OperatingSystemHotfix                :
OperatingSystemServicePack           :
OperatingSystemVersion               : 10.0 (22621)
PasswordExpired                      : False
PasswordLastSet                      : 3/4/2024 9:54:58 PM
PasswordNeverExpires                 : False
PasswordNotRequired                  : True
PrimaryGroup                         : 
primaryGroupID                       : 515
PrincipalsAllowedToDelegateToAccount : {}
ProtectedFromAccidentalDeletion      : False
pwdLastSet                           : 133540916989401567
SamAccountName                       : 
sDRightsEffective                    : 7
ServiceAccount                       : {}
servicePrincipalName                 :                                  
SID                                  : S-1-5-21-1220945662-1606980848-1801674531-289388
SIDHistory                           : {}
TrustedForDelegation                 : False
TrustedToAuthForDelegation           : False
UseDESKeyOnly                        : False
userAccountControl                   : 4128
userCertificate                      : {}
UserPrincipalName                    :
uSNChanged                           : 823581575
uSNCreated                           : 824670
whenChanged                          : 3/5/2024 9:06:40 AM
whenCreated                          : 4/29/2019 1:16:25 PM

如果是“lastLogon”字段如何转换为字母?我可以从 SCCM 中提取用户名,但它并不总是最新的。 SCCM 可能是唯一的来源,但我想知道 Active Directory 是否可能有更新的信息。

 Get-ADComputer -Identity "COSD12549" -Properties # this is the PowerShell command I used
powershell active-directory
1个回答
0
投票

您可以按如下方式转换 LastLogon 和 LastLogonTimeStamp 值:

“w32tm.exe /ntte [Windows NT 时间格式的时间]

“示例: 命令 w32tm.exe /ntte 128271382742968750 将在位于比格林威治标准时间早三个小时的时区的计算机上产生“148462 05:57:54.2968750 - 6/24/2007 8:57:54 AM(当地时间)” (格林威治标准时间 +3:00)。请注意,输出的前半部分显示 GMT 时间 (05:57:54),然后通过添加时区偏移 (8:57:54) 来转换它”

参考:https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/convert-datetime-attributes-to-standard-format

“LastLogon 属性仅在验证登录请求的 DC 上更新。lastLogon 属性不会被复制。

相反,lastLogontimeStamp 属性被复制,因此所有 DC 都具有相同的属性值(在复制收敛之后)。

值得注意的是,lastLogontimeStamp 属性的预期目的是帮助识别不活动的计算机和用户帐户。 lastLogon 属性并非旨在提供实时登录信息。使用默认设置时,lastLogontimeStamp 将比当前日期晚 9-14 天。”

参考:https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/8220-the-lastlogontimestamp-attribute-8221-8211-8220-what-it-was/ba-p/ 396204

考虑到此信息,LastLogon 属性将提供更实际的值,但应查询所有 DC。

如果您获取计算机上次登录时间,则这是域成员计算机上次启动并联系 DC 的时间 - 与域用户交互式登录无关。

如果您获取域用户上次登录时间,则这是域用户登录域的时间。

© www.soinside.com 2019 - 2024. All rights reserved.