????微軟在Windows Server 2003中引入了LastLogonTimeStamp屬性。管理員們可以利用這個屬性查看用戶或者計算機最近是否登錄過域。根據這些信息，管理員可以對長時間沒有登錄的賬戶采取相應的措施。

有人就會問了，不是有LastLogon這個屬性嗎，為什么還要引入LastLogonTimeStamp這個屬性呢？這個問題問得好，那么我先來解釋一下這兩個屬性的區別吧。

????LastLogon是記錄某個賬戶上一次在該域控制器認證的時間。該屬性是不會在域控制器之間復制的。所以，要是以前需要確定賬戶最后一次登錄域的 時間，必須查看所有域控制器上的LastLogon，最大的那個值就代表了賬戶最后一次登錄域的時間。LastLogon只會記錄交互式登 錄，Kerberos驗證的用戶。

????LastLogonTimeStamp的值會在所有域控制器間復制。所以管理員只要從一個域控制器上就能得到用戶上次登錄的信息。不 過，LastLogonTimeStamp的值并不一定代表真實的最后一次登錄域的時間。它是根據一個更新間隔來更新的（注意：要啟用這個屬性，域功能級 別必須是Windows Server 2003喔）。LastLogonTimeStamp會記錄交互式登錄，Kerberos和NTLM驗證的用戶。管理員利用該值對長時間沒有登錄的賬號進行管理，該值能夠反映出賬號長時間沒有登錄。所以，在合適的更新間隔情況下，LastLogonTimeStamp就能反映出長時間沒有登錄這個信息，同時減少了AD復制流量，減輕了網絡負擔，何樂而不為呢？

下面是LastLogonTimeStamp的更新計算機方式：

????基本更新間隔是由msDS-LogonTimeSyncInterval這個屬性定義的。默認是14天。該基本更新間隔可以在域的屬性中設置，范圍 為1到100,000天。同時還有一個窗口（Window）以及一個隨機參數（Parameter）用來調節整個更新間隔，避免?LastLogonTimeStamp的值在同一個時間更新。窗口的默認值為5天，隨機參數為一個百分比。真正的更新間隔Actual_Interval?計算公式如下：

Actual_Interval = msDS-LogonTimeSyncInterval?–?Window * Parameter?

舉例說明：假如一個用戶的LastLogonTimeStamp為2015/12/03，該用戶在2011/09/12再次登錄域。msDS- LogonTimeSyncInterval為14，Window為5，Parameter為80%。所以真正的更新間隔Actual_Interval?為14?–?5 * 0.8 = 10。這時候由于沒有滿足更新條件，所以LastLogonTimeStamp不更新。請注意，用戶登錄后，在提供認證服務的域控制器 上，LastLogon更新為2015/12/03。假如該用戶在2015/12/13再次登錄，這時候LastLogonTimeStamp就會更新為?2015/12/13，并在域控制器之間進行復制。

轉載于:https://blog.51cto.com/3017574/1719348

總結

以上是生活随笔為你收集整理的2015-12-03 AD中用户属性Lastlogon与LastlogonTimeStamp的区别的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。