チャブーンです。
一般的にはみなさんどうされているいるんでしょうか?
それについては、「そもそも(意識的に)ルート証明書を配布しなくていいようにシステム構成を行っている」のではないでしょうか。
Windows証明機関でエンタープライズCAを構成した場合、ルート証明書はドメインに参加した時点で「自動的に配布」されますので、意識する必要性は少ないです。Windows証明機関と無関係な証明書(Verisign等)の場合、原則的にはWindowsにインストール済みですので問題はなく、それ以外の「カスタムルート証明書」が対象になるので、利用シーンはそもそも限定されます。
また各端末をイメージコピーで作成する場合、イメージ内に最初から展開しておけば、都度都度証明書を手動でインストールする必要もなくなります。
ルート証明書のGPO展開は、展開する証明書は「公開鍵証明書(秘密鍵を含まない)」を想定していますので、セキュリティ的に大きな問題になることも、ふつうはありません。
問題があるとすれば、設計や運用を「サーバー構築担当者」が行うという、プロジェクト内の政治的なものかもしれません。「クライアント構築担当者」と役割が分かれている場合、サーバー担当者が「自分たちの仕事でない」と拒否すれば、クライアント担当者が行うしかなくなるため、GPOを変更することができず、必然的に手動展開となるでしょう。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。
