チャブーンです。
この件ですが、結論としてAD CSをドメインコントローラにインストールすることはお奨めしません。
証明書を登録していない現在のユーザーがサーバーやファイルにアクセスできなくなるようなことは発生しないでしょうか。
そのようなことは通常はありません。AD CSを導入しただけではアクセス制限は発生しません。
ドメインサービスがインストールされたサーバーに証明書サービスをインストールすることは可能でしょうか。
可能な場合、メリットやデメリットはありますでしょうか。
インストールそのものは可能ですが、お奨めしません。理由として、ドメインコントローラに「Active Directory認証」以外の役割を与えた場合、負荷が増大したりトラブル発生時の切り分け処理が難しくなります。また、もっと大きい理由として、「証明書サービス」をインストールしたドメインコントローラは「メンバーサーバへの降格」ができなくなります。ドメインコントローラの問題でドメインコントローラの再構築が必要な場合、証明書サービスをアンインストールする必要がありますが、証明書サービス関連のデータは事前にエクスポートしないと復元できないため、非常に管理負荷がかかります。この手の問題は、USのフォーラムでも出ていますね。
http://social.technet.microsoft.com/Forums/windowsserver/en-US/66cd9712-b44a-406b-b77f-07ee945bf80f/certificate-services-install-on-domain-controller?forum=winserversecurity
