none
lastLogon:时间刷新 RRS feed

  • 问题

  • 【背景描述】:想查询域控上的域账号上次登陆时间,取值哪个? 域控是Windows server 2016

    1、域账号通过PC登陆的上次登陆时间记录在:lastLogon?

    2、域账号不登录加域PC,但是登陆和AD集成的系统,上次登陆时间记录在 :LastLogonDate

    两种场景登陆时间记录在哪里?

    lastLogon还是LastLogonDate?

    2020年8月20日 9:28

全部回复

  • 你好,

    LastLogon:当用户登录时,此属性在仅提供身份验证的域控制器上更新。因为它仅在一个DC上更新,所以这意味着该属性不会被复制。
    .
    LastLogonDate是LastLogontimestamp的转换版本.它是LastLogon属性的复制版本,但是不是立即更新的。有一个称为“ ms-DS-Logon-Time-Sync-Interval”的属性。您可以在域默认命名上下文中找到此属性。默认情况下,此设置的值为“未设置”,但实际上转换为14天。一般用来确一定时间范围内活动用户和计算机的列表

    所以对于你的问题:查询域账号上次登陆实际时间,可以直接查询Last Logon 属性。
    在有单个域控或者少数域控的情况下比较容易,但是如果存在大量域控的情况下就比较难查询。这时可以考虑使用PowerShell命令来实现。
    $(foreach ($DC in ((get-addomaincontroller -filter * | sort name).name) ){ $user = get-aduser chris -properties lastlogon -server     $dc | select name,lastlogon ; echo "$DC - $(w32tm /ntte $user.lastlogon)" }  )
    其中Chris改为你想查询的用户名即可。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年8月21日 1:31
  • 你好,

    LastLogon:当用户登录时,此属性在仅提供身份验证的域控制器上更新。因为它仅在一个DC上更新,所以这意味着该属性不会被复制。
    .
    LastLogonDate是LastLogontimestamp的转换版本.它是LastLogon属性的复制版本,但是不是立即更新的。有一个称为“ ms-DS-Logon-Time-Sync-Interval”的属性。您可以在域默认命名上下文中找到此属性。默认情况下,此设置的值为“未设置”,但实际上转换为14天。一般用来确一定时间范围内活动用户和计算机的列表

    所以对于你的问题:查询域账号上次登陆实际时间,可以直接查询Last Logon 属性。
    在有单个域控或者少数域控的情况下比较容易,但是如果存在大量域控的情况下就比较难查询。这时可以考虑使用PowerShell命令来实现。
    $(foreach ($DC in ((get-addomaincontroller -filter * | sort name).name) ){ $user = get-aduser chris -properties lastlogon -server     $dc | select name,lastlogon ; echo "$DC - $(w32tm /ntte $user.lastlogon)" }  )
    其中Chris改为你想查询的用户名即可。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    非常感谢你的回复,根据脚本,从实际的6台域控里面,把查询到的结果反馈出来了,截图如下:

    另外:某些外协用户在企业外部,不存在PC和AD登录,但会登录AD集成的业务系统,

    1)登录业务系统其实是业务系统和AD验证,上次登录时间会记录显示LastLogon字段里面?

    2)根据下图,根据最新的时间,就是最新的登录时间?


    • 已编辑 super.ma 2020年8月21日 6:28 增加截图
    2020年8月21日 6:26
  • 你好,

    1,”某些外协用户在企业外部,不存在PC和AD登录,但会登录AD集成的业务系统“

    因为不清楚系统的工作流程,所以不能确定是否一定会被记录。可以对此用户进行测试,如果DC上有记录,则可用此方法进行查询,是否有此用户的记录。

    2,是的,每台DC上会记录本台DC对此账户认证的时间,其中最新的时间就是用户最近一次的登录时间。

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年8月24日 1:20
  • 你好,

    1,”某些外协用户在企业外部,不存在PC和AD登录,但会登录AD集成的业务系统“

    因为不清楚系统的工作流程,所以不能确定是否一定会被记录。可以对此用户进行测试,如果DC上有记录,则可用此方法进行查询,是否有此用户的记录。

    2,是的,每台DC上会记录本台DC对此账户认证的时间,其中最新的时间就是用户最近一次的登录时间。

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    现在存在一些疑惑:有些域账号不登录PC ,只登录和AD集成认证的系统,该认证记录记录在哪里?
    2020年8月25日 0:15
  • 你好,

    可以尝试在DC上开启审核策略:审核帐户登录事件 看是否会有相应的事件生成。
    可以通过在“计算机配置\ Windows设置\安全设置\本地策略\审计策略”下打开适当的策略来配置此安全设置。

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-account-logon-events
    在域控制器上对域用户帐户进行身份验证时,将生成帐户登录事件.

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    2020年8月25日 7:27
  • 你好,

    可以尝试在DC上开启审核策略:审核帐户登录事件 看是否会有相应的事件生成。
    可以通过在“计算机配置\ Windows设置\安全设置\本地策略\审计策略”下打开适当的策略来配置此安全设置。

    https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/basic-audit-account-logon-events
    在域控制器上对域用户帐户进行身份验证时,将生成帐户登录事件.

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com


    意思是:不登录PC,但是登录和域控集成的业务系统的记录,记录在“账户登录事件”日志里面?又该如何查询?三地6台域控

    我们默认都开启

    2020年8月26日 1:22
  • 你好,

    首先对于账号策略之外的其他策略不建议在默认域策略上进行配置。

    关于认证的记录,我能想到的就是这个审核策略。但是确实不是很清楚集成系统这一块的内容,所以建议您可以尝试一下审核策略是否有用。因为没有环境所以没有办法进行测试,所以非常抱歉不能确认这个一定是有用。

    如果有记录,可能需要检查所有的DC.

    关于这个问题建议同时咨询一下系统的供应商。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年8月26日 6:00
  • 你好,

    首先对于账号策略之外的其他策略不建议在默认域策略上进行配置。

    关于认证的记录,我能想到的就是这个审核策略。但是确实不是很清楚集成系统这一块的内容,所以建议您可以尝试一下审核策略是否有用。因为没有环境所以没有办法进行测试,所以非常抱歉不能确认这个一定是有用。

    如果有记录,可能需要检查所有的DC.

    关于这个问题建议同时咨询一下系统的供应商。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    和AD集成的系统,都是使用的LDAP 协议认证的,这个没办法回答吗?非得开微软的case?
    2020年8月31日 1:19
  • 你好,

    如果集成系统是使用的LDAP协议认证,那么LDS诊断事件日志记录可以记录该事件。

    默认情况下,Active Directory仅在目录服务日志中记录关键事件和错误事件。要将Active Directory配置为记录其他事件,必须通过编辑注册表来提高日志记录级别。

    以下链接供参考:

    https://support.microsoft.com/en-us/help/314980/how-to-configure-active-directory-and-lds-diagnostic-event-logging

    相似案件:https://social.technet.microsoft.com/Forums/windows/en-US/9045a229-6c08-480b-b4d8-a04e21616a3e/how-to-check-for-ldap-problems-logs-events-etc?forum=winserverDS

    人认为LDAP调试日志记录并不适合查看登录,因为会生成大量日志。
    所以如果可能,建议在AD集成系统里查询登录记录。

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年8月31日 5:27