Wenn Sie z.B. für Exchange eine neue Zertifizierungsstelle installieren, dann vertrauen die Clients dem neuen Root Zertifikat erstmal nicht. Somit würde es z.B. bei Exchange immer eine Fehlermeldung geben, wenn die Clients ihr Outlook starten.

Um dieses Problem schnell zu lösen, können Sie eine Gruppenrichtlinie erstellen, welche das Root Zertifikat bei der Anmeldung automatisch zu den Vertrauenswürdigen Stammzertifizierungsstellen des lokalen Computers hinzufügt.

Erstellen Sie dazu eine neue Richtlinie:

Und navigieren Sie danach zu folgender Richtlinie:
Computerkonfiguration -> Windows-Einstellungen -> Richtlinie für öffentlichen Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen

Dort importieren Sie einfach das Root Zertifikat der Domäne und die Clients bekommen dies entsprechend zugeteilt.