Unterschied im AD: LastLogon & LastLogonTimestamp
Öffnet man im Active Directory ein Benutzer-Objekt so sieht man viele Attribute im Attribute Editor. Hier gibt es lastLogon und lastLogonTimestamp. Doch worin liegt der Unterschied?
Unterschied zwischen lastLogon und lastLogonTimestamp
Im Active Directory (AD) hat diese zwei Atribute jeder Benutzer. Auf den ersten Blick sieht man allerdings, dass diese Attribute unterschiedlich sind, obwohl man den gleichen Zweck vermuten möchte. Worin liegt also der Unterschied?
Generell kann man lastLogon gut übersetzen: Die letzte Anmeldung. Das Attribut enthält also eine Zeitangabe als Datum und Uhrzeit. Genauso wie das Geschwister-Attribut lastLogonTimestamp. Wir klären euch auf.
lastLogon
Das AD-Attribut lastLogon gibt an, wann sich der Benutzer das letzte Mal an einem bestimmten Domain Controller angemeldet hat. Somit kann das lastLogon-Attribut auf den verschiedenen Domain-Controllern unterschiedlich sein.
lastLogonTimestamp
Das lastLogonTimestamp Attribut hingegen beinhaltet den Zeitpunkt, wann sich der User das letzte mal in der Domäne angemeldet hat. Dieser Zeitpunkt ist also auf allen Domain-Controllern gleich.
lastLogonTimestamp nicht aktuell
Worin der Unterschied zwischen lastLogon und lastLogonTimestamp liegt haben wir eben schon erklärt. Das müsste bedeuten, dass das lastLogonTimestamp-Attribut auf jedem Domain-Controller im AD gleich ist. Doch es ist nicht aktuell oder wird nicht repliziert?
Das Attribut wird erst nach 9-14 Tagen auf die anderen Domain-Controller repliziert. Dies soll laut Microsoft die Bandbreite in großen Umgebungen schonen. Wann das Attribut lastLogonTimestamp repliziert wird, wird im Attribut msDS-LogonTimeSyncInterval hinterlegt.
Ist bei msDS-LogonTimeSyncInterval kein Wert hinterlegt, so wird die Standard-Dauer von 9-14 Tagen angewendet. Da es einen Unterschied zu lastLogon gibt, ist dieses natürlich nicht betroffen.
