背景
由于预算有限,我们在环境中使用漫游凭证而不是智能卡。
问题
现在我们认识到相关的 AD 用户属性变得相当大,特别是msPKIDPAPIMasterKeys和msPKIAccountCredentials。查看用户证书存储,我们发现有许多证书不再有效(已过期)。
这种情况会导致不必要的 WAN 流量(具体是 LDAP)和每次进行组策略后台/前台刷新等时传输的数据。
例如,HP UPD 驱动程序通知“功能”通过 LDAP 查询 AD 中的前 100 个用户对象,以确定是否应显示气球……当然,这可以禁用我们将要做的事情。我提出这个例子只是为了说明大型 AD 对象对 DC 性能和 WAN 饱和度有多大的影响。
问题
从 AD 用户对象中清除所有陈旧(过期)的 PKI 数据的最佳方法是什么?