2011-07-25 165 views
0

我生成了一個報告,標識60天以前的舊帳戶。對於這個時間框架,我認爲可以使用一個DC的LastLogonTimeStamp值。即使9-14天的準確性警告,它也能達到目的。Active Directory LastLogonTimeStamp屬性是關閉的

問題是,有人確定了一個看似不正確的帳戶。此帳戶的LastLogonTimeStamp包含2011年7月的日期。用戶自2010年以來還沒有與該公司在一起。

要解決此差異,我查詢了LastLogon屬性的每個DC。所有這些都是從不,或他們在2010年。

我也查詢每個DC LastLogonTimeStamp,他們都是相同的,報告2011年7月的日期。 LastLogonTimeStamp對絕大多數用戶都是正確的,所以不存在底層複製問題。

那麼這個LastLogonTimeStamp來自哪裏,它怎麼會出錯?

任何想法?

由於多, 桑德拉

回答

1

注意,LastLogon和的lastLogonTimestamp屬性不使用相同的登錄條件(即登錄類型)更新。請參閱http://support.microsoft.com/default.aspx?scid=kb;EN-US;939899,其中具體解釋了它們可能有所不同的原因。

+0

謝謝。這是一個很好的發現!當然,看起來像這樣的事情正在發生。在本文中,MS表示通過將您的域級別升級到Windows 2003 Native(我們是)以及在更新到Windows 2003 SP1的引用文章中(所有DC已經在此之上持續相當一段時間)解決了問題。但是,誰說這是在特定類型的身份驗證會在某些情況下更新lastLogonTimestamp而不是lastLogon的bug的唯一實例。雖然我無法真正證明這一點,但這很合理。再次感謝! – Sandra

0

的lastLogonTimestamp是可複製的屬性,但是這個屬性不更新每一個用戶成功登錄的時間。只有當它的電流值大於當前時間減去MSDS中,LogonTimeSyncInterval屬性的值年長此屬性更新。

相關問題