Hola andr1u,
Hasta donde yo sé sobre certificados digitales, me temo que la única opción que tienes es la del script. Las politicas que tienes disponibles en una GPO referentes a la gestión de certificados hacen referencia a la distribución automática de orígenes de
confianza (organizaciones o personas), pero estos certificados se instalan en los almacenes de equipo, con lo que no te sirve para lo que necesitas.
Por otra parte, la opción de usar una GPO para distribuir un certificado digital personal tampoco le veo mucho sentido (en mi opinión) ya que tendrías que crear una GPO por cada usuario al que quisieras distribuir el certificado.
Insisto en que no soy ningún guru en PKIs, pero por lo que me ha tocado pegarme con ellas, la solución más factible es la del script que comentas.
Un saludo y espero que te sirva.
Eslabón de la Cadena Humana (http://cursohispano.com/cadena-humana)