[AD DS] Attributs non répliqués

Il existe des attributs Active Directory qui ne sont pas répliqués entre les contrôleurs de domaine. Pour les objets utilisateurs, on retrouve notamment les attributs suivants :

  • badPasswordTime
  • badPwdCount
  • DistinguishedName
  • dSCorePropagationData
  • lastLogoff
  • lastLogon
  • logonCount
  • ObjectGUID
  • uSNChanged
  • uSNCreated
  • whenChanged

     

Chaque attribut dispose d'une propriété « SystemFlag ». Ce nombre hexadécimal, permet de définir plusieurs paramètres et le bit de poids le plus faible, détermine si l'attribut est répliqué entre les contrôleurs de domaine. Si le nombre est un chiffre impair alors l'attribut n'est pas répliqué.

Vous trouverez plus d'informations sur la propriété « SystemFlags » dans le lien :

https://docs.microsoft.com/en-us/windows/desktop/adschema/a-systemflags

 

De ce fait si vous souhaitez connaitre la date de la dernière connexion d'un utilisateur depuis « Lastlogon », il vous faudra interroger l'ensemble des contrôleurs de domaine de votre domaine afin de rechercher la date la plus récente.

Si vous recherchez les comptes inactifs depuis un moment, l'attribut « LastLogonTimeStamp » peut être suffisant par exemple.  Cet attribut est synchronisé entre les contrôleurs de domaine mais pas à chaque authentification, mais dans un intervalle de 14 jours par défaut. Dans la pratique cet intervalle est paramétrable avec la propriété « msDS-LogonTimeSyncInterval », défini à la racine du domaine. Par défaut elle n'est pas définie et la valeur de 14 jours est appliquée.

 

 

Theme: 

Systeme: 

Annee: