Discussion:
Zeitstempel der letzen Anmeldung
(zu alt für eine Antwort)
s_k_b_s
2006-08-22 08:39:01 UTC
Permalink
Ich habe ein AD mit W2k im Mixed Mode. Kann ich irgendwie den Zeitpunkt der
letzten verwendung /Anmeldung eines Computerkontos oder eines Benutzers
sehen? Gibt es so eine Eigenschaft wie "lastLogonTimestamp", die man über
LDAP so abfragen kann wie "ProfilePath" oder "samAccountName"?

mfG
Helmut Schneider
2006-08-22 09:47:25 UTC
Permalink
Post by s_k_b_s
Ich habe ein AD mit W2k im Mixed Mode. Kann ich irgendwie den Zeitpunkt
der letzten verwendung /Anmeldung eines Computerkontos oder eines
Benutzers sehen? Gibt es so eine Eigenschaft wie "lastLogonTimestamp",
die man über LDAP so abfragen kann wie "ProfilePath" oder
"samAccountName"?
LastLogon und LastLogoff. Bei mehreren DCs musst Du allerdings alle
abklappern.

Gruß, Helmut
--
Please do not feed my mailbox, Swen still does his job well
Yusuf Dikmenoglu
2006-08-22 10:02:02 UTC
Permalink
Moin,
Post by s_k_b_s
Gibt es so eine Eigenschaft wie "lastLogonTimestamp", die man über
LDAP so abfragen kann wie "ProfilePath" oder "samAccountName"?
Stichwort: Lastlogon wurde schon genannt, genauso das diese Information
nicht zwischen den DCs repliziert wird, ergo jeden DC überprüfen.
In diesem Artikel sind hilfreiche Tools erwähnt:
http://www.faq-o-matic.net/content/view/27/45/
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu
http://www.faq-o-matic.net
http://yusufd.spaces.live.com
Frank Röder [MVP]
2006-08-22 10:11:49 UTC
Permalink
Hallo (s_k_b_s),
es wird hier gern ein richtiger Name gesehen.
Post by s_k_b_s
Ich habe ein AD mit W2k im Mixed Mode. Kann ich irgendwie den Zeitpunkt der
letzten verwendung /Anmeldung eines Computerkontos oder eines Benutzers
sehen? Gibt es so eine Eigenschaft wie "lastLogonTimestamp", die man über
LDAP so abfragen kann wie "ProfilePath" oder "samAccountName"?
in den gemischten Umgebungen gibt es "lastlogon" und lastlogoff". Diese
beiden Attribute werden nicht repliziert.
Wenn du dich im Windows 2003 Modus befinden würdest, dann könntest du
das Attribut "lastlogonTimestamp" nutzen. Dieses Attribut wird aber nur
alle 14 Tage zwischen den DCs einer Domäne repliziert. Diesen Wert kann
man anpassen indem man das Attribut "msDS-LogonTimeSyncInterval" anpasst.
Suche mal bei Google nach "acctinfo.dll". Diese dll kannst du mittels
"regsvr32.dll" registrieren. Dann hast du in der Benutzerverwaltung eine
weitere Registerkarte zur Verfügung wo du die letzte Anmeldung
nachvollziehen kannst.

Auf der Kommandozeile würde ich es so realisieren:

dsquery * domainroot -filter
"(&(objectCategory=Person)(objectClass=User)(sAMAccountName=ANMELDENAMEDESBENUTZERS))"
-attr lastLogon lastLogoff
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-08-22 18:30:17 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
Wenn du dich im Windows 2003 Modus befinden würdest, dann könntest du
das Attribut "lastlogonTimestamp" nutzen. Dieses Attribut wird aber nur
alle 14 Tage zwischen den DCs einer Domäne repliziert.
hm? Ich bin der Meinung, es wird repliziert, wenn die letzte
Aktualisierung mehr als 7 Tage her ist (sprich der vorhandene Wert älter
als 7 Tage).
Post by Frank Röder [MVP]
Diesen Wert kann
man anpassen indem man das Attribut "msDS-LogonTimeSyncInterval" anpasst.
Wobei ich da in Frage stellen würde, ob das sinnvoll ist. Gemeint ist
mit diesem Wert ja ein Anhaltspunkt, ob das Konto inaktiv ist. Dafür
reicht die Auflösung "7 Tage" (oder notfalls auch 14) völlig aus.
Post by Frank Röder [MVP]
Suche mal bei Google nach "acctinfo.dll". Diese dll kannst du mittels
"regsvr32.dll" registrieren. Dann hast du in der Benutzerverwaltung eine
weitere Registerkarte zur Verfügung wo du die letzte Anmeldung
nachvollziehen kannst.
... die auf dem DC, der gefragt wird.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Frank Röder [MVP]
2006-08-23 03:58:22 UTC
Permalink
Moin Nils,
Post by Nils Kaczenski [MVP]
Moin,
Post by Frank Röder [MVP]
Wenn du dich im Windows 2003 Modus befinden würdest, dann könntest du
das Attribut "lastlogonTimestamp" nutzen. Dieses Attribut wird aber
nur alle 14 Tage zwischen den DCs einer Domäne repliziert.
hm? Ich bin der Meinung, es wird repliziert, wenn die letzte
Aktualisierung mehr als 7 Tage her ist (sprich der vorhandene Wert älter
als 7 Tage).
http://technet2.microsoft.com/WindowsServer/en/library/54094485-71f6-4be8-8ebf-faa45bc5db4c1033.mspx?mfr=true
Post by Nils Kaczenski [MVP]
Post by Frank Röder [MVP]
Suche mal bei Google nach "acctinfo.dll". Diese dll kannst du mittels
"regsvr32.dll" registrieren. Dann hast du in der Benutzerverwaltung
eine weitere Registerkarte zur Verfügung wo du die letzte Anmeldung
nachvollziehen kannst.
.... die auf dem DC, der gefragt wird.
Korrekt, aber besser als nichts.

BTW: Bis Freitag.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-08-24 11:17:58 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
http://technet2.microsoft.com/WindowsServer/en/library/54094485-71f6-4be8-8ebf-faa45bc5db4c1033.mspx?mfr=true
hm. Mir war so, als wäre es hier anders erklärt worden, aber da steht
dasselbe:
http://www.microsoft.com/technet/scriptcenter/topics/win2003/lastlogon.mspx

Dann habe ich wohl noch ein Erratum für das Buch ...
Post by Frank Röder [MVP]
Korrekt, aber besser als nichts.
Ja.
Post by Frank Röder [MVP]
BTW: Bis Freitag.
Au ja! ;-)


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Nils Kaczenski [MVP]
2006-08-24 11:22:29 UTC
Permalink
Moin,
Post by Nils Kaczenski [MVP]
hm. Mir war so, als wäre es hier anders erklärt worden, aber da steht
halt! Jetzt hab ichs:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/a_lastlogontimestamp.asp

Dort heißt es:
"This value is only updated when the user logs in if a week has passed
since the last update. This value is replicated."

Offen gestanden messe ich dem mehr Wahrheit zu, weil es nämlich zum
Zeitpunkt der Aktualisierung entschieden werden kann. Eine verzögerte
Replikation würde ja ziemlich viel zusätzliche Logik im
Replikationssystem erfordern.
Post by Nils Kaczenski [MVP]
Dann habe ich wohl noch ein Erratum für das Buch ...
Das lasse ich doch erst mal bleiben. Mal sehen, ob jemand bei MS das
aufklären kann.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Maximilian Hänel
2006-08-28 15:05:46 UTC
Permalink
Hallo Nils,
Post by Nils Kaczenski [MVP]
"This value is only updated when the user logs in if a week has passed
since the last update. This value is replicated."
Offen gestanden messe ich dem mehr Wahrheit zu, weil es nämlich zum
Zeitpunkt der Aktualisierung entschieden werden kann. Eine verzögerte
Replikation würde ja ziemlich viel zusätzliche Logik im
Replikationssystem erfordern.
Das wäre die schlüssigste Erklärung/Lösung. Ich verstehe nur nicht,
warum hier von einer Woche die Rede ist. Da müsste doch sinnigerweise

"This value is only updated when the user logs in if
_msDS-LogonTimeSyncInterval days_ has passed since the last update"

stehen. Oder stehe ich jetzt auf dem Schlauch?

cu

Max
Maximilian Hänel
2006-08-28 15:36:20 UTC
Permalink
Ich nochmal,

Nachdem ich heute Nacht zwecks Babysitten eine Weile Zeit hatte mir die
genannten Artikel durchzulesen, würde ich zu folgendem Schluß kommen:

1. Replikation von lastLogonTimestamp:
Die Replikation von lastLogonTimestamp unterscheidet sich nicht von der
anderer AD Attribute. Wird lastLogonTimestamp geändert, wird
repliziert. Ende der Geschichte.

2. Aktualisierung von lastLogonTimestamp:
Meldet sich ein Benutzer an, wird lastLogonTimestamp vom aktuellen Logon
DC ausgelesen. Liegt der gerade ausgelesene lastLogonTimestamp weiter
zurück in der Vergangenheit als die Differenz aus aktueller Zeit -
msDS-LogonTimeSyncInterval, wird lastLogonTimestamp aktualisiert, und in
Folge dessen auch repliziert. Andernfalls wird lastLogonTimestamp eben
nicht aktualisiert.
Damit ist auch sichergestellt, dass der Wert von lastLogonTimestamp auf
allen DCs (nach der üblichen Replikations Latenz) gleich ist.

3. Aktualisierung von lastLogonTimestamp nach der Anhebung des
funktionalen Levels:
Es wird unabhängig vom tatsächlien Wert von msDS-LogonTimeSyncInterval
ein Wert von 14 Tagen angenommen. Von diesen 14 Tagen werden
Zufallsprozent*5 Tage abgezogen. Dieser berechnete
msDS-LogonTimeSyncInterval Wert, der dann zwischen 9 und 14 Tagen liegt,
wird jetzt so verwendet, wie unter 2. beschrieben.


@Nils
Das dürfte auch deiner Theorie entsprechen, oder?

cu

Max
Frank Röder [MVP]
2006-08-28 15:52:14 UTC
Permalink
Post by Maximilian Hänel
3. Aktualisierung von lastLogonTimestamp nach der Anhebung des
Es wird unabhängig vom tatsächlien Wert von msDS-LogonTimeSyncInterval
ein Wert von 14 Tagen angenommen. Von diesen 14 Tagen werden
Zufallsprozent*5 Tage abgezogen. Dieser berechnete
msDS-LogonTimeSyncInterval Wert, der dann zwischen 9 und 14 Tagen liegt,
wird jetzt so verwendet, wie unter 2. beschrieben.
@Nils
Das dürfte auch deiner Theorie entsprechen, oder?
er meint ja das es nach sieben Tagen aktualisiert und dadurch repliziert
wird. Das was du beschrieben hast ist mein Einwurf.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Maximilian Hänel
2006-08-28 16:13:25 UTC
Permalink
Hallo Frank,
Post by Frank Röder [MVP]
er meint ja das es nach sieben Tagen aktualisiert und dadurch repliziert
wird. Das was du beschrieben hast ist mein Einwurf.
Ups, hast recht Uwe :-P Ich und Namen... ;-)

Also jetzt hoffentlich richtig:
@Frank
Das dürfte auch deiner Theorie entsprechen, oder?
(Die Antwort haste ja schon geschrieben ;-) )

@Nils
Wenn das mit den (fixen) sieben Tagen stimmen sollte, welche Funktion
hätte dann msDS-LogonTimeSyncInterval?

cu

Max
Frank Röder [MVP]
2006-08-28 17:41:18 UTC
Permalink
Hallo Maximilian,
Post by Maximilian Hänel
Post by Frank Röder [MVP]
er meint ja das es nach sieben Tagen aktualisiert und dadurch
repliziert wird. Das was du beschrieben hast ist mein Einwurf.
Ups, hast recht Uwe :-P Ich und Namen... ;-)
@Frank
Das dürfte auch deiner Theorie entsprechen, oder?
(Die Antwort haste ja schon geschrieben ;-) )
Ja, so ist es. Da ich diese Dinge nicht gern im Raum stehen lasse, habe
ich es ausgetestet in einer VM.
Der Aktualisierungsintervall ist 14d - Zufallsprozentsatz von 5d. Das
Attribut wird anschließend ganz normal wie alle anderen Änderungen
repliziert.

@Nils

Das wird wohl doch ein Erratum :-(
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-08-31 08:02:19 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
Das wird wohl doch ein Erratum :-(
das war ja zu befrürchten. Ist dann aber auch ein Erratum für die
MSDN-Dokumentation, denn da kommt "meine Theorie" ja her. Nun muss ich
nur noch jemanden finden, der so eine Korrektur verarbeitet ...

Jetzt ist mir nur noch nicht klar, wozu das Attribut
msDS-LogonTimeSyncInterval gut sein soll.


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Nils Kaczenski [MVP]
2006-08-31 08:54:00 UTC
Permalink
Moin,
Post by Nils Kaczenski [MVP]
Jetzt ist mir nur noch nicht klar, wozu das Attribut
msDS-LogonTimeSyncInterval gut sein soll.
ähm, doch, nach nochmaligem Lesen des Threads ist es mir doch klar.

MSDN-Korrektur habe ich abgesandt. Mal sehen, ob es was hilft.

Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Frank Röder [MVP]
2006-08-31 10:57:19 UTC
Permalink
Moin Nils,
Post by Nils Kaczenski [MVP]
Post by Nils Kaczenski [MVP]
Jetzt ist mir nur noch nicht klar, wozu das Attribut
msDS-LogonTimeSyncInterval gut sein soll.
ähm, doch, nach nochmaligem Lesen des Threads ist es mir doch klar.
MSDN-Korrektur habe ich abgesandt. Mal sehen, ob es was hilft.
ich glaube da kannst du lange warten. Detlef Dreyer und ich haben in den
MVP NGs auch eine Änderung angefordert, die bis jetzt nicht umgesetzt
wurde :-(.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-09-07 10:51:19 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
Post by Nils Kaczenski [MVP]
MSDN-Korrektur habe ich abgesandt. Mal sehen, ob es was hilft.
ich glaube da kannst du lange warten.
dann will ich doch mal auf eine freudige Überraschung hinweisen. gerade
bekam ich vom Windows SDK Team den Hinweis, dass meine Korrektur
eingearbeitet ist. Es könne jetzt allerdings noch ein paar Wochen
dauern, bis die Seite den internen Build-Prozess durchlaufen habe.

Da es sicher auch für andere interessant ist, zitiere ich mal ein wenig:
"I’ve corrected the page below to contain the information you’ve
provided below. I’m sorry the page was wrong; it turns out that many of
these pages are created based on comments from the attributes’ creators
in the code itself, and this information is not always correct. We do
our best to keep things accurate, but Schema attributes are always hard
to keep track of."


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Frank Röder [MVP]
2006-09-07 14:34:18 UTC
Permalink
Post by Nils Kaczenski [MVP]
Moin,
Post by Frank Röder [MVP]
Post by Nils Kaczenski [MVP]
MSDN-Korrektur habe ich abgesandt. Mal sehen, ob es was hilft.
ich glaube da kannst du lange warten.
dann will ich doch mal auf eine freudige Überraschung hinweisen. gerade
bekam ich vom Windows SDK Team den Hinweis, dass meine Korrektur
eingearbeitet ist. Es könne jetzt allerdings noch ein paar Wochen
dauern, bis die Seite den internen Build-Prozess durchlaufen habe.
cool. Du scheinst die kurzen Wege bei MS zu kennen;-)
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-09-07 15:15:12 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
cool. Du scheinst die kurzen Wege bei MS zu kennen;-)
in dem Fall war es der ganz offizielle, der unten auf der Seite
angegeben ist. ;-)


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Frank Röder [MVP]
2006-09-08 03:37:28 UTC
Permalink
Post by Nils Kaczenski [MVP]
Moin,
Post by Frank Röder [MVP]
cool. Du scheinst die kurzen Wege bei MS zu kennen;-)
in dem Fall war es der ganz offizielle, der unten auf der Seite
angegeben ist. ;-)
Gruß, Nils
Das diese Postfach gelesen wird, hätte ich nie gedacht.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
unknown
2006-09-07 17:13:09 UTC
Permalink
gerade bekam ich vom Windows SDK Team den Hinweis, dass meine
Korrektur eingearbeitet ist.
"This value is only updated when the user logs in if a week has
passed since the last update. This value is replicated."
"I’ve corrected the page below to contain the information you’ve
provided below. I’m sorry the page was wrong; it turns out that many
of these pages are created based on comments from the attributes’
creators in the code itself, and this information is not always
correct. We do our best to keep things accurate, but Schema
attributes are always hard to keep track of."
Na das hört sich doch gut an.
Es ist erfreulich das seitens Microsoft dann auch auf
Anfragen/Bemerkungen
eingegangen wird.

Auf zu neuen Bemerkungen ...äähhmmm Ufern ;-)
--
Regards from Mainz/Germany
Yusuf Dikmenoglu
http://www.faq-o-matic.net
http://yusufd.spaces.live.com/
Frank Röder [MVP]
2006-09-08 03:36:32 UTC
Permalink
gerade bekam ich vom Windows SDK Team den Hinweis, dass meine
Korrektur eingearbeitet ist.
"This value is only updated when the user logs in if a week has passed
since the last update. This value is replicated."
eben nicht. Der andere Zeitintervall ist richtig.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-09-08 07:15:30 UTC
Permalink
Moin,
Post by Frank Röder [MVP]
eben nicht. Der andere Zeitintervall ist richtig.
zur Klärung noch mal mein Hinweis, der Grundlage für die MSDN-Korrektur
sein wird:
"there is an error in this document. In the line "Update Frequency" the
comment is: "When the user logs on if a week has past since the value
was updated."

This is not correct. This is what happens: When a user logs on the value
of this attribute is read from the DC. If the value is older than
(current time minus msDS-LogonTimeSyncInterval) the value is updated.
The initial update after the raise of the domain functional level is
calculated as (14 days minus random percentage of 5 days).

See:
http://technet2.microsoft.com/WindowsServer/en/library/54094485-71f6-4be8-8ebf-faa45bc5db4c1033.mspx?mfr=true


This should be corrected as I used the incorrect information in a book
article. Others may have used the incorrect information as well."


Gruß, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das neue MVP-Buch: http://www.faq-o-matic.net/content/view/253/2/
faq-o-matic-Verlosung: http://www.faq-o-matic.net/content/view/266/2/
Lesen Sie weiter auf narkive:
Suchergebnisse für 'Zeitstempel der letzen Anmeldung' (Fragen und Antworten)
5
Antworten
Ich muss ihn erwischen!!
gestartet 2008-08-07 13:54:03 UTC
freizeit & spiele
Loading...