As autoridades de certificação raiz confiáveis são um dos GPs que DEVEM ser definidos na Diretiva de Domínio Padrão (não recomendada) ou em outra na raiz do domínio. Você só pode ter uma política para o domínio.
Verifique se há apenas uma política de certificado em vigor para seu domínio. Isso pode ser feito executando um resultado GP na máquina em questão.