Задний план
Из-за ограниченного бюджета мы используем роуминг-учетные данные вместо смарт-карт в нашей среде.
Проблема
Теперь мы осознали, что соответствующие атрибуты пользователей AD стали довольно большими, в частности msPKIDPAPIMasterKeys и msPKIAccountCredentials. Глядя на хранилища сертификатов пользователей, мы видим, что многие сертификаты больше недействительны (просрочены).
Эта ситуация приводит к ненужному трафику WAN (в частности, LDAP) и данным, которые передаются каждый раз, когда выполняется фоновое / переднее обновление групповой политики и т. Д.
Например. «функция» уведомления драйвера HP UPD запрашивает через LDAP первые 100 пользовательских объектов в AD, чтобы определить, должен ли он отображать всплывающее сообщение или нет ... конечно, это можно отключить, что мы собираемся сделать. Я просто привел этот пример, чтобы проиллюстрировать, как большие объекты AD могут иметь большое влияние на производительность постоянного тока и насыщение глобальной сети.
Вопрос
Как лучше всего удалить все устаревшие (просроченные) данные PKI из пользовательских объектов AD?