lastLogon vs. lastLogonTimestamp en Active Directory

Un empleado dejó la empresa. Intento averiguar cuándo su cuenta de AD inició sesión por última vez, si fue antes del despido o después.

Existen estos 2 atributos en la ventana de propiedades del usuario: lastLogon y lastLogonTimestamp . La fecha lastLogon es anterior a la fecha de rechazo, pero la fecha lastLogonTimestamp es posterior a la fecha de rechazo (por lo que en este caso tendríamos un problema de seguridad).

¿Cómo saber cuál de estos atributos muestra el tiempo real de inicio de sesión de la última cuenta de AD? ¿Cuál es la diferencia entre ellos?

Usa el atributo más reciente.

Lastlogon solo se actualiza en el controlador de dominio que realiza la autenticación y no se replica.

LastLogontimestamp se replica, pero de manera predeterminada solo si tiene 14 días o más de antigüedad que el valor anterior.

http://social.technet.microsoft.com/wiki/contents/articles/22461.understanding-the-ad-account-attributes-lastlogon-lastlogontimestamp-and-lastlogondate.aspx

TL; DR : si desea el tiempo de inicio de sesión más preciso, debe consultar el lastLogonatributo desde todos los controladores de dominio. Si una tolerancia de ± 19 días es aceptable, puede leer lastLogonTimestampdesde el controlador de dominio más cercano.

lastLogon

Este atributo no se replica y se mantiene por separado en cada controlador de dominio en el dominio. Para obtener un valor preciso para el último inicio de sesión del usuario en el dominio, el atributo Último inicio de sesión para el usuario debe recuperarse de cada controlador de dominio en el dominio. El valor más grande que se recupera es el último tiempo de inicio de sesión verdadero para ese usuario.

https://docs.microsoft.com/en-us/windows/desktop/adschema/a-lastlogon#remarks

lastLogonTimestamp

Cada vez que un usuario inicia sesión, el valor de este atributo se lee del DC. Si el valor es anterior [current_time - msDS-LogonTimeSyncInterval], el valor se actualiza. La actualización inicial después del aumento del nivel funcional del dominio se calcula como 14 días menos el porcentaje aleatorio de 5 días.

https://docs.microsoft.com/en-us/windows/desktop/adschema/a-lastlogontimestamp

Notas:

1. Ambas fechas se almacenan como FILETIME( Int64en .Net / PowerShell) si las recupera mediante programación.
2. PowerShell también proporciona una LastLogonDatepropiedad. Hubiera preferido proporcionar documentación específica de Microsoft para confirmar esto, pero la mayoría de las fuentes lo dicen y mis pruebas confirman que es el valor lastLogonTimestampconvertido a l̲o̲c̲a̲l̲ DateTime.