Пустые Lastlogon и lastlogontimestamp
Несмотря на то, что пользователь подключается через VPN и создает идентификаторы событий 4776, 4648, 4624 и 4634 на контроллере домена, в атрибутах пользователей Active Directory lastlogon и lastlogontimestamp все еще остаются пустыми или не установленными. Этот пользователь фактически не входит в систему, потому что он не может пройти двухфакторную аутентификацию в аутентификаторе VPN, но я просто не могу понять, почему эти успешные события входа в систему регистрируются в контроллере домена. Какой идентификатор события обновляет эти значения? Спасибо.
Bu dəyərlər VPN girişi ilə yenilənmir. Yerli giriş ilə bir domen maşınına yenilənirlər.
lastlogon DC-yə xasdır və AD vasitəsilə təkrarlanmır. lastlogontimestamp təkrarlanır, ancaq 14 gündən yuxarı olduqda yenilənir (köhnəlmiş AD hesablarını tapmaq üçün nəzərdə tutulur).
Bütün domen nəzarətçilərinizdəki qeydləri şərh etmək üçün bir günlük faylı təhlilçisindən istifadə edə bilərsiniz.