微軟在Windows Server 2003中引入了LastLogonTimeStamp屬性。管理員們可以利用這個屬性查看用戶或者計算機最近是否登錄過域。根據這些信息,管理員可以對長時間沒有登錄的賬戶採取相應的措施。
有人就會問了,不是有LastLogon這個屬性嗎,爲什麼還要引入LastLogonTimeStamp這個屬性呢?這個問題問得好,那麼我先來解釋一下這兩個屬性的區別吧。
LastLogon是記錄某個賬戶上一次在該域控制器認證的時間。該屬性是不會在域控制器之間複製的。所以,要是以前需要確定賬戶最後一次登錄域的 時間,必須查看所有域控制器上的LastLogon,最大的那個值就代表了賬戶最後一次登錄域的時間。LastLogon只會記錄交互式登 錄,Kerberos驗證的用戶。
LastLogonTimeStamp的值會在所有域控制器間複製。所以管理員只要從一個域控制器上就能得到用戶上次登錄的信息。不 過,LastLogonTimeStamp的值並不一定代表真實的最後一次登錄域的時間。它是根據一個更新間隔來更新的(注意:要啓用這個屬性,域功能級 別必須是Windows Server 2003喔)。LastLogonTimeStamp會記錄交互式登錄,Kerberos和NTLM驗證的用戶。管理員利用該值對長時間沒有登錄的賬號進行管理,該值能夠反映出賬號長時間沒有登錄。所以,在合適的更新間隔情況下,LastLogonTimeStamp就能反映出長時間沒有登錄這個信息,同時減少了AD複製流量,減輕了網絡負擔,何樂而不爲呢?
下面是LastLogonTimeStamp的更新計算機方式:
基本更新間隔是由msDS-LogonTimeSyncInterval這個屬性定義的。默認是14天。該基本更新間隔可以在域的屬性中設置,範圍 爲1到100,000天。同時還有一個窗口(Window)以及一個隨機參數(Parameter)用來調節整個更新間隔,避免 LastLogonTimeStamp的值在同一個時間更新。窗口的默認值爲5天,隨機參數爲一個百分比。真正的更新間隔Actual_Interval 計算公式如下:
Actual_Interval = msDS-LogonTimeSyncInterval – Window * Parameter
舉例說明:假如一個用戶的LastLogonTimeStamp爲2015/12/03,該用戶在2011/09/12再次登錄域。msDS- LogonTimeSyncInterval爲14,Window爲5,Parameter爲80%。所以真正的更新間隔Actual_Interval 爲14 – 5 * 0.8 = 10。這時候由於沒有滿足更新條件,所以LastLogonTimeStamp不更新。請注意,用戶登錄後,在提供認證服務的域控制器 上,LastLogon更新爲2015/12/03。假如該用戶在2015/12/13再次登錄,這時候LastLogonTimeStamp就會更新爲 2015/12/13,並在域控制器之間進行復制。