Автоматизированное добавление личных и корневых сертификатов в среде Windows

Имеется терминальный сервер для пользователей, которые работают на порталах по закупкам. Задача — автоматизировать установку сертификатов личных и доверенных корневых центров.
Пробросить флешку/смарт-карту с сертификатом и ключами в терминал можно легко, поставив галку в свойствах rdp-подключения:

Далее создаем групповую политику, цепляем её к OU, в которой находится учетная запись компьютера-терминала и добавляем нужные доверенные корневые сертификаты сюда:
Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies — Trusted Root Certification Authoritiesshow

Добавить личный сертификат для каждого пользователя можно, создав logon-скрипт и поместив его в групповую политику, созданную ранее в User Configuration — Policies — Windows Settings — Scripts — Logon. Скрипт:

В групповой политике обязательно включите опцию Loopback Processing Mode (Замыкание на себя) — «Конфигурация компьютера\Административные шаблоны\Система\Групповая политика», чтобы настройки юзера применялись ко всем, кто заходит на терминальный сервер.

Примеры команд для работы с certutil:

Добавить личный сертификат пользователя в личное хранилище:

Добавить сертификат в личное хранилище компьютера (для всех пользователей):

Добавить сертификат в доверенные корневые центры сертификации (для всех пользователей):

Добавить сертификат в промежуточные центры сертификации (для всех пользователей):