AD-Attribute zur Auswertung der letzten Benutzeranmeldung

Möchte man ermitteln, wann sich ein User das letzte Mal angemeldet/authentifiziert hat, gibt es im AD mehrere Attribute, anhand derer man die benötigten Informationen auswerten/ermitteln kann.

LastLogon

Das LastLogon Attribut stammt noch aus der Zeit vor Windows 2003 und war das erste Attribut, welches den User Logon protokolliert hat. Da das Attribut nicht zwischen den einzelnen Domain Controllern repliziert wurde, war die Information auf den DCs jeweils der letzte Logon an eben diesem speziellen DC und hat sich somit von DC zu DC unterschieden. Aus Sicht einer Analyse war dies schlecht, da man das Attribut immer aus allen DCs hat auslesen müssen und schauen, welches das wirlich letzte Datum war.

LastLogonTimeStamp

Mit Windows Server 2003 und dem entsprechenden Functional Level hat Microsoft daher das Attribut LastLogonTimeStamp eingeführt. Mit diesem Attribut wurde das Problem der unterschiedlichen Werte auf den einzelnen DCs gelöst, da das Attribut repliziert wird. Trotzdem hat sich ein neues Problem ergeben. Da in das Attribut alle Benutzeranmeldungen protokolliert werden (also interaktiv, LDAP, SMB, etc.) entstünde eine sehr hohe Replikationslast. Dies hat Microsoft dadurch gelöst, dass das Attribut nicht direkt repliziert, sondern nur alle 9-14 Tage. Für eine Auswertung/Analyse der Anmeldungen als auch kein optimaler Zustand.

msDS-LastSuccessfulInteractiveLogonTime

AD Functional Level Window Server 2008 hat deshalb weitere 4 Attribute eingeführt, um dem Problem zu begegnen.

msDS-FailedInteractiveLogonCount
msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon
msDS-LastFailedInteractiveLogonTime
msDS-LastSuccessfulInteractiveLogonTime

Dabei ist besonders das letzt genannte Attribut msDS-LastSuccessfulInteractiveLogonTime von Interesse. In diesem Attribut steht im Gegensatz zu LastLogonTimeStamp nur Datum/Zeit der letzten interaktiven Anmeldung, also z.B. die Anmeldung am Endgerät des Benutzers (Windows 7 oder höher, Windows Server 2008 oder höher). Es erhöht sich zwar auch hier die Replikationslast, da es direkt repliziert, aber eben nicht so gravierend, wie es bei LastLogonTimeStamp der Fall wäre.

Auf Grund der erhöhten Replikationslast ermöglicht Microsoft dem Admin die Wahl, ob die Attribute verwendet werden sollen oder nicht. Konfiguriert wird dies in folgender Policy:

-> Computer Configuration
   -> Policies
      -> Administrative Templates
         -> Windows Components
            -> Windows Logon Options
               -> Display information about previous logons during user logon
                  => Enabled

Quellen:
https://docs.microsoft.com/
https://docs.microsoft.com/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.