Existem dois métodos. Você pode usar a Política de Grupo para distribuir os certificados para clientes de domínio ou pode usar certutil.exe -dspublish -f <certfilename> RootCA . Há vantagens em qualquer um dos métodos. O método dspublish é mais simples, mas o método de Diretiva de Grupo é um pouco mais flexível. Usando a Diretiva de Grupo, você pode definir o escopo dos destinatários dos certificados para determinadas unidades organizacionais, configurar propriedades estendidas como Validação Estendida, respondentes OCSP, etc.
OR
Mas você não precisa fazer as duas coisas.