Leider gibt es bei vielen Umgebungen im AD ein Delta zwischen "lastLogon", "lasLogonTimeStamp" und "pwdLastSet".
Im Docusnap bezieht ihr euch, insbesondere bei Rechnerkonten, auf das "pwdLastSet" und blendet auch nur dieses im Datengrid (inventar-->ADS) und den Reporten zur AD-Sicherheit. Dies führt zu Missinterpration bei der Aktualität von Rechnerkonten bei vielen Kunden.
Mein Vorschlag wäre: im Datengrid ADS einfach beide Spalten noch mit einblenden (lastLogon, LastLogonTimestamp), wobei LastLogon sinnvoller wäre in den AD-Sicherheitsreport ebenfalls einblenden der zusätzlichen Spalte
Danke für das interessante Posting. Betrachten wir die von Dir genannten Attribute im Detail:
pwdLastSet
- diese Eigenschaft wird von den Objektklasse User und Computer verwendet - Deshalb wird in Docusnap 11 für eine bessere Verständlichkeit stets von Computerkennwörtern u. Benutzerpasswörtern gesprochen (in beiden Fällen ist damit das Attribut pwdLastSet gemeint, aber mit dem Klassenbezug ist diese Eigenschaft verständlicher) - dieses Attribut wird domänenweit repliziert (Alle DCs liefern diese Information) - Bei Computer Objekten liefern die DCs im Standard alle 30 Tage ein neues Token aus - Man könnte den Wert auch als "wann hat dieses System zuletzt mit einem DC kommuniziert interpretieren..." - eine Missinterpretation der Rechnerkonten Aktualität ist demzufolge nicht möglich da Docusnap stets den korrekten Wert liefert
lastlogon
- diese Eigenschaft wird von den Objektklasse User und Computer verwendet - dieses Attribut wird NICHT domänenweit repliziert - d.h. Docusnap erhält die Daten von dem DC der bei der Inventarisierung abgefragt wurde - FYI: (0x11 = (ATTR_NOT_REPLICATED | SCHEMA_BASE_OBJECT)) - hier sind die Ergebnisse tatsächlich nicht eindeutig (wenn die Domäne über mehr als einen DC verfügt) - wir haben dieses Problem bereits im Blick - FYI: das Attribut logonCount wird ebenfalls nicht repliziert und deshalb ebenfalls mit Vorsicht zu genießen
lastLogonTimestamp
- diese Eigenschaft wird von den Objektklasse User und Computer verwendet - dieses Attribut wird domänenweit repliziert ist ist somit grundsätzlich verlässlich - allerdings erfolgt die Replikation der Logondaten verzögert (Default = 2 Wochen + Zufallswert 0,5 Tage) - in der Praxis ist mit einem Replikationsfenster von 9-14 Tagen zu kalulieren - msDS-LogonTimeSyncIntervaL ist für den Replikationsintervall verantwortlich - Sonderfall erste Anmeldung (Benutzer & Computer): dieser Datum/Zeit Wert wird sofort domänenweit repliziert - Mit dem Wissen wie lastLogonTimestamp funktioniert ist eine ordentliche domänenweite Auswertung über größere Zeiträume gegeben
Gruß Hans