Active Directory: cómo conocer la VERDADERA fecha del último inicio de sesión

En el mundo de la gestión de identidades y accesos (IGA), la fecha del último inicio de sesión es un dato crucial. Esta información puede utilizarse, por ejemplo, para comprobar si un antiguo empleado se ha conectado tras irse de la empresa o, de forma más general, para ver si existen cuentas inactivas (es decir, cuentas que siguen activas pero que no se han utilizado durante un periodo de tiempo), con el propósito de cumplir con la normativa IT o reducir los costes.

El Active Directory, con su amplia distribución, es un ejemplo clásico de cómo puede utilizarse la fecha de laúltima conexión. En la interfaz de administración, al detallar las propiedades de una cuenta de usuario, podrás observar que esta información aparece bajo 2 atributos diferentes: «lastLogon» y «lastLogonTimestamp».

¿Por qué aparece esta información dos veces?

¿Cuál debe utilizarse para el análisis de los accesos?

Controlador(es) de dominio

Casi sistemáticamente, y más aún en las grandes empresas, varios controladores de dominio gestionan el Active Directory de la empresa, con el fin de garantizar la continuidad del servicio y una mejor gestión de los recursos. Estos controladores de dominio sincronizan la información entre sí a intervalos regulares; lo que se conoce como replicación de controladores de dominio.

Cuando un usuario se conecta con su cuenta Windows, se autentica en uno u otro de estos controladores de dominio.

Fecha de la última conexión

Se registran, entre otras informaciones, la fecha y la hora de conexión. En el Active Directory, esta información aparece en 2 atributos, cada uno con una función muy diferente:

lastLogon: última conexión del usuario al controlador de dominio. Estos datos no se replican.

¿Qué valor elegir?

Como parte de un análisis de los accesos, recomendamos procesar el lastLogonTimestamp, que proporciona información mucho más estable en el tiempo (a pesar de una diferencia potencial de hasta 14 días, por defecto).

Si quisieras obtener con precisión la fecha de la última conexión del usuario, tendrías que recuperar todos los valores de lastLogon de los distintos dominios y, a continuación, establecer un mecanismo para conservar el valor más reciente.

LastLogonTimestamp es generalmente la opción preferida para IAG, debido a la fiabilidad de la información y la rapidez con la que se tiene en cuenta.