这是由于AD复制特性的一些限制导致的。这些属性在主域控制器上才能写入，但它们不会被复制到其他域控制器上。如果要在其他域控制器上使用这些属性，则需要使用LDAP或其他方法查询主域控制器。

以下是使用PowerShell查询主域控制器上的badPwdCount属性的示例代码：

#指定主域控制器的名称或IP地址：
$domainController = "DC01.domain.com"

#连接到域控制器：
$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()
$directoryContext = [System.DirectoryServices.ActiveDirectory.DirectoryContext]::Domain($domain.Name)
$domainController = New-Object System.DirectoryServices.ActiveDirectory.DomainController($directoryContext, $domainController)

#查询badPwdCount属性：
$user = Get-ADUser -Identity username -Server $domainController.Name -Properties badPwdCount
$user.badPwdCount

类似地，可以使用LDAP查询Last-Logon和Last-Logoff属性。