Sim, você pode implantar as CAs raiz e intermediárias em armazenamentos confiáveis do Windows a partir do AD. Pelo menos os navegadores IE e Chrome vão buscá-lo de lá, já que usam o que vem com o Windows. No Firefox, você precisará que os usuários importem os certificados ou encontrem uma maneira de fazer o script.
Graças a @Aceth, aqui está uma conclusão para a resposta:
Edito a política de domínio padrão no console de gerenciamento de políticas de grupo. Em seguida, em Configuração do Computador / Políticas / Configurações de Segurança / Políticas de Chave Pública / Autoridades de Certificação Raiz Confiáveis
Clique com o botão direito do mouse e importe seus certificados raiz e intermediário.