Get-ADUser liefert viel zu wenig Einträge

[Zebbi 11]

Hallo,

 

ich frag das ActiveDirectory per Powershellbefehl nach dem letzten Login der User, aber da sind definitiv veraltete Einträge, z.B. von meinem Testuser den ich direkt davor eingelogt hab, aber auch von Usern die sich mehrfach angemeldet haben oder solchen die sich definitiv schon vor ca. zwei Stunden angemeldet haben...

Hängt das an der Synchronisation im AD, oder was mach ich da falsch? 

Get-ADUser -Filter {name -like "*"} -Properties LastLogOnDate |FT -Property Name, LastLogonDate -A

Hintergrund ist das wir zum Troubelshooting feststellen müssen welche User sich zu einer bestimmten Zeit anmelden.

bearbeitet 23. November 2018 von Zebbi

[daabm 1.387]

Der fragt den ersten DC, der antwortet. -Server angeben :) Und Du weißt, daß alle Anmelde-Zeiten im AD unzuverlässig sind?

[NilsK 2.978]

Moin,

 

du findest im Web zahlreiche Quellen für Skripte, die alle DCs nach der letzten Anmeldung fragen und damit  das "echte" letzte Anmeldedatum herausfinden, eine Suche nach "active directory real last logon" oder so hilft.

 

Im Zeitalter des Ruhezustands sind aber Cached Credentials der übliche Anmeldeweg, sodass die Anmeldedaten am DC nur begrenzte Aussagekraft haben. Kommt also drauf an, was ihr da rausfinden wollt. Und: Selbstverständlich sind solche Auswertungen ein Thema für den Betriebsrat.

 

Gruß, Nils

 

[Zebbi 11]

Danke,

das erklärts. War davon ausgegenagen das die "nachgereicht" werden. Dann muss ich das lokal machen.

 

Geht nur darum, dass wir immer zu einer bestimmten Uhrzeit sehr viel Plattenlast haben und der erste Gedanke war, dass sich ein User mit SEHR großen und defekten Outlookdateien anmeldet, die dann selbstständig "repariert" werden. Andere Plattenlastverursacher haben wir hier nämlich bisher nicht und die Outlookdatein sind eine fehlkonfigurierte Altlast mit der wir noch kämpfen.
Eine wirklich Lösung um NACHTRÄGLICH zu sehen wer gerade wie Plattenlast erzeugt hat, hab ich bisher noch nicht gefunden.

[NilsK 2.978]

Moin,

 

Outlookdateien?! Ihr habt aber keine PSTs auf Netzlaufwerken, oder? Das ist nicht nur nicht supported, sondern auch ein prima Mittel, um Datenverluste zu erzeugen.

 

Gruß, Nils

 

[Zebbi 11]

vor 40 Minuten schrieb NilsK:

Moin,

 

Outlookdateien?! Ihr habt aber keine PSTs auf Netzlaufwerken, oder? Das ist nicht nur nicht supported, sondern auch ein prima Mittel, um Datenverluste zu erzeugen.

 

Gruß, Nils

 

Wie gesagt, tolle Altlastlasten... ;) Das Thema hatten wir aber schon mal, damals hatten alle die Hände über Kopf zusammengeschlagen und Mitleid ausgesprochen... ;)

[wolfrP 2]

versuch mal

Get-ADUser -Filter {name -like "*"} -Properties LastLogOnDate -ResultSetSize Unlimited|FT -Property Name, LastLogonDate -A

vielleicht limitiert die AD die max ausgabeanzahl sonst

[NilsK 2.978]

Moin,

 

das löst das Problem nicht. Das Attribut lastLogon wird nicht repliziert, man muss es bei jedem DC abfragen und dann das aktuellste nehmen.

 

Gruß, Nils

 

[Zebbi 11]

vor 14 Stunden schrieb NilsK:

Moin,

 

das löst das Problem nicht. Das Attribut lastLogon wird nicht repliziert, man muss es bei jedem DC abfragen und dann das aktuellste nehmen.

 

Gruß, Nils

 

Und wenn es wirklich die gecachten nicht mit einbezieht, ist das Sinnlos.

 

[NilsK 2.978]

Moin, 

 

am Ende ist die Frage ja, was man denn erreichen will. Bei dem Ansinnen des TO scheint es ja gar nicht um die Auswertung von Anmeldevorgängen zu gehen.

 

Gruß, Nils

 

[Zebbi 11]

Danke nochmal, Thema kann als Erledigt betrachtet werden. (Gabs da nicht mal ein "Schließen"-Button?)
Ich muss mir eine andere Lösung suchen. Über den AD-Eintrag LastLogOn komme ich nicht weiter. Ich bräuchte eher sowas wie eine Login-Historie. Dann muss ich mir wohl das Eventlog der einzelnen Server vornehmen.