更具体地说 - Active Directory 是否将此信息存储在计算机以外的地方?我在域环境中丢失了一台计算机,我不是 AD 管理员,但对所有计算机拥有 admin+ 权限。 SCCM 有此信息,但并不总是最新的。我还检查了 Active Directory 管理中心中的计算机名称,没有看到登录信息。我已经查看了命令的 PowerShell 输出:
Get-ADComputer -Identity "ComputerName" -Properties * \Some information was removed or changed.
Is it the lastLogon field?\
AccountExpirationDate :
accountExpires : 9223372036854775807
AccountLockoutTime :
AccountNotDelegated : False
AllowReversiblePasswordEncryption : False
AuthenticationPolicy : {}
AuthenticationPolicySilo : {}
BadLogonCount : 0
badPasswordTime : 0
badPwdCount : 0
CannotChangePassword : False
CanonicalName :
Certificates : {}
CN : ComputerName
codePage : 0
CompoundIdentitySupported : {False}
countryCode : 0
Created : 4/29/2019 1:16:25 PM
createTimeStamp : 4/29/2019 1:16:25 PM
Deleted :
Description : Refresh 5/1/19
DisplayName :
DistinguishedName :
DNSHostName :
DoesNotRequirePreAuth : False
dSCorePropagationData : {4/9/2024 10:14:37 AM, 2/22/2024 6:24:42 PM, 5/31/2023 8:05:06 PM, 3/28/2023
9:31:20 AM...}
Enabled : True
HomedirRequired : False
HomePage :
instanceType : 4
IPv4Address :
IPv6Address :
isCriticalSystemObject : False
isDeleted :
KerberosEncryptionType : {RC4, AES128, AES256}
LastBadPasswordAttempt :
LastKnownParent :
lastLogoff : 0
lastLogon : 133541980705291112
LastLogonDate : 2/29/2024 4:26:29 AM
lastLogonTimestamp : 133536831896176074
localPolicyFlags : 0
Location :
LockedOut : False
logonCount : 7217
ManagedBy :
MemberOf : MNSLogonAccount : False
Modified : 3/5/2024 9:06:40 AM
modifyTimeStamp : 3/5/2024 9:06:40 AM
msDS-KeyCredentialLink : COSD12549
nTSecurityDescriptor : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory :
ObjectClass : computername
ObjectGUID : 74a97a55-3909-4597-bdc3-d944a1589f6b
objectSid : S-1-5-21-1220945662-1606980848-1801674531-289388
OperatingSystem : Windows 11 Enterprise
OperatingSystemHotfix :
OperatingSystemServicePack :
OperatingSystemVersion : 10.0 (22621)
PasswordExpired : False
PasswordLastSet : 3/4/2024 9:54:58 PM
PasswordNeverExpires : False
PasswordNotRequired : True
PrimaryGroup :
primaryGroupID : 515
PrincipalsAllowedToDelegateToAccount : {}
ProtectedFromAccidentalDeletion : False
pwdLastSet : 133540916989401567
SamAccountName :
sDRightsEffective : 7
ServiceAccount : {}
servicePrincipalName :
SID : S-1-5-21-1220945662-1606980848-1801674531-289388
SIDHistory : {}
TrustedForDelegation : False
TrustedToAuthForDelegation : False
UseDESKeyOnly : False
userAccountControl : 4128
userCertificate : {}
UserPrincipalName :
uSNChanged : 823581575
uSNCreated : 824670
whenChanged : 3/5/2024 9:06:40 AM
whenCreated : 4/29/2019 1:16:25 PM
如果是“lastLogon”字段如何转换为字母?我可以从 SCCM 中提取用户名,但它并不总是最新的。 SCCM 可能是唯一的来源,但我想知道 Active Directory 是否可能有更新的信息。
Get-ADComputer -Identity "COSD12549" -Properties # this is the PowerShell command I used
您可以按如下方式转换 LastLogon 和 LastLogonTimeStamp 值:
“w32tm.exe /ntte [Windows NT 时间格式的时间]
“示例: 命令 w32tm.exe /ntte 128271382742968750 将在位于比格林威治标准时间早三个小时的时区的计算机上产生“148462 05:57:54.2968750 - 6/24/2007 8:57:54 AM(当地时间)” (格林威治标准时间 +3:00)。请注意,输出的前半部分显示 GMT 时间 (05:57:54),然后通过添加时区偏移 (8:57:54) 来转换它”
“LastLogon 属性仅在验证登录请求的 DC 上更新。lastLogon 属性不会被复制。
相反,lastLogontimeStamp 属性被复制,因此所有 DC 都具有相同的属性值(在复制收敛之后)。
值得注意的是,lastLogontimeStamp 属性的预期目的是帮助识别不活动的计算机和用户帐户。 lastLogon 属性并非旨在提供实时登录信息。使用默认设置时,lastLogontimeStamp 将比当前日期晚 9-14 天。”
考虑到此信息,LastLogon 属性将提供更实际的值,但应查询所有 DC。
如果您获取计算机上次登录时间,则这是域成员计算机上次启动并联系 DC 的时间 - 与域用户交互式登录无关。
如果您获取域用户上次登录时间,则这是域用户登录域的时间。