В домене Active Directory, если я настраиваю службу Windows на компьютере-члене домена для запуска с учетной записью пользователя AD (также известной как «старая учетная запись службы»), а затем служба продолжает работать, но я не перезапускаю службу или перезагрузите компьютер в течение года ... продолжает ли обновляться LastLogonTimestamp пользовательского объекта учетной записи службы?
Изменить: если вы говорите «это зависит от службы», используйте в качестве примера MS SQL Server. Я установил MSSQL Engine для работы как contoso \ sql-service. Потом оставляю в покое на год.
После некоторых исследований:
LastLogonTimestamp обновляется следующими типами входа в систему: интерактивный, сетевой и служебный.
Однако атрибут не обновляется при КАЖДОМ входе в систему ...
Есть еще один атрибут ms-DS-Logon-Time-Sync это контролирует, как часто [в днях] LastLogonTimestamp атрибут обновлен. Значение по умолчанию составляет 14 дней и устанавливается в коде, поэтому, если вы посмотрите на значение в ADSIEdit, вы не увидите, что оно установлено.
Итак, решение обновить LastLogonTimestamp основывается на текущей дате за вычетом значения ms-DS-Logon-Time-Sync минус случайный процент (из 5). Если результат больше или равен LastLogonTimestamp атрибут обновляется и реплицируется на другие контроллеры домена.
Обработать:
Пошаговое руководство по обновлению lastLogontimeStampUpdate
Большая часть этого была найдена в следующей статье блога группы служб каталогов Microsoft: Атрибут LastLogonTimeStamp »-« Для чего он был разработан и как работает »
Итак, да, вы должны увидеть обновление атрибута, но только в зависимости от времени, описанного выше.
Я создал среду для проведения этого эксперимента. Он состоит из Active Directory с параметром MSDS-LogonTimeSyncInterval, равным 1 дню. Затем я установил экземпляр MS SQL на другом сервере, присоединенном к домену, и создал новую учетную запись домена для использования в качестве учетной записи службы SQL. SQL был запущен 9 июня, и, конечно же, когда SQL запустился, учетная запись службы также впервые была зарегистрирована в домене. LastLogonDate учетной записи службы все еще не обновлен по сравнению с исходным значением 9 июня, и я ожидаю, что этого никогда не произойдет ... до перезапуска SQL.
Идея заключалась в том, что если я ищу «неактивные» учетные записи пользователей, которые необходимо отключить, просто полагаясь на LastLogonDate пользователя, вы можете получить некоторые учетные записи служб, которые все еще активно используются, но которые используются для запуска служб, которые не перезапускался в течение долгого времени.