Никак не могу один момент нагуглить (либо понять что там пишут)

Есть у меня необходимость в разнообразных зашифрованных коммуникациях. Приложений масса, так что я сам себе все подписываю и выдаю сертификаты.
Сейчас установка корневого сертификата CA на компьютер сотрудника выглядит как импорт файла .crt. Поднадоело постоянно объяснять где скачать сертификат и что вообще делать. Хочу чтобы все компьютеры в домене получили этот сертификат, доверяли ему и на вкладке internet explorer (и chrome) он показывался в корневых. И, соответственно, приложения их использовали.

Каким образом в современном windows-домене эта задача решается наиболее естественно ?
Неужели просто запихивать команды импорта в скрипт выполняемый при входе?
Мне кажется, эта задача сравнительно популярная.

Akina, спасибо. В точности то, что нужно ! Как я проглядел не пойму.

что-то не работает. по крайней мере на совсем свежеустановленной win 8.1 в свойствах IE дополнительных сертификатов не видать.
Что ж там может пойти не так ? Типичная же задача

Да политика в этом домене в принципе работает. И там кое-что уже настроено.
Вряд ли я ошибся. Скорее microsoft опять карты перетусовал - этот cертификат CA не купленный, а самостоятельно сгенерированный.