• What are the Workstation Certificates used for? Kerberos?
Não. O Kerberos não usa certificados SSL / TLS. **
Um administrador pode optar por usar um determinado modelo de certificado para qualquer número de coisas diferentes, então eu diria que é impossível para nós sabermos exatamente o que exatamente esses certificados estavam sendo usados em seu ambiente.
O modelo de Autenticação da Estação de Trabalho é muito semelhante ao modelo de certificado do Computador, no entanto. Ambos os modelos certificados oferecem autenticação por computador. Portanto, os certificados podem ser usados para estabelecer conexões SSL / TLS de máquina para máquina.
Por exemplo, um exemplo de como os certificados de Autenticação da Estação de Trabalho podem ter sido usado é para autenticação de cliente com SCCM, para que o SCCM saiba que está falando com o cliente certo.
• Will users/machines be able to login Monday morning (post expiration date)?
Provavelmente. O Active Directory não exige certificados para fazer logon no domínio em uma configuração típica. Mas você pode ter algum serviço auxiliar em seu ambiente que quebre ... o que estava usando esses certs antes, não sabemos.
• Once the certificates are expired, will it be possible for the machines to get new certificates?
Você configura políticas de inscrição automática de certificado no Active Directory usando uma combinação de Diretiva de Grupo e permissões no modelo de certificado que permitem o registro automático das máquinas. Você quase nunca precisa ou quer ser inscrito manualmente em certificados em um ambiente do Active Directory.
Since I'm using Windows 2012 R2, it's possible that downlevel NTLM would be used as an alternative to Kerberos and this isn't an issue... although I'm not sure if this is acceptable in all cases: (e.g. DCOM enrollment of certificates)
A capacidade de um cliente de se inscrever em um certificado de uma CA corporativa não será afetada por esse cliente ter um certificado válido ou não. É um modelo de certificado diferente do que posso dizer em sua postagem, portanto, o fato de o modelo de certificado antigo expirar não funcionará para saber se um computador pode se inscrever automaticamente nele ou não. Se for um novo modelo, você precisará configurar a Política de Grupo para permitir a inscrição automática desse novo modelo.
** - Não para os fins desta discussão.