Домен поднят на 2012 r2, в домене развернул CA, юзерам раздал сертификаты, все пашет, юзеры могут шифровать почту, проходит авторизацию, подписывать документы.
Сертификат с сервера садиться в Личное, но при замене компьютера юзеру или смены юзером компьютера, сертификат не устанавливается в хранилище.
Это фича или баг, или где то не поставлена галочка?

autoenrollment настраивали?

да, на шаблоне сертификата

юзерам раздал сертификаты »
Сертификаты раздали через GPO?

Telepuzik, да

да »
GPO привязано к пользователю или компьютеру?
Пара вопросов:
1. У Вас настроены перемещаемые профили?
2. В свойствах шаблона сертификата стоит галка Do not automatically reenroll if a duplicate certificate exists in Active Directory или нет?

компьютеры
Policies - Windows Settings - Security Settings - Public Key Policies/Trusted Root Certification Authorities корневой сертификат тут

пользователи
Policies - Windows Settings - Security Settings - Public Key Policies/Certificate Services Client - Auto-Enrollment Settings

Policy Setting
Automatic certificate management Enabled
Option Setting
Enroll new certificates, renew expired certificates, process pending certificate requests and remove revoked certificates Enabled
Update and manage certificates that use certificate templates from Active Directory Enabled

Log expiry events, and, for user policy, only show expiry notifications when the percentage of remaining certificate lifetime is 10%
Additional stores to log expiry events
Display user notifications for expiring certificates in user and computer MY store Disabled

упс не очень получилось

1. У Вас настроены перемещаемые профили?
2. В свойствах шаблона сертификата стоит галка Do not automatically reenroll if a duplicate certificate exists in Active Directory или нет? »

Перемещаемых профилей нет, галка стоит.

еще стоит галка, Publish certificate in Active Directory/

Цитата Mega_Demon:
Сертификат с сервера садиться в Личное »
Если открыть оснастку Сертификаты и посмотреть физическое расположение сертификатов в Личное, то видно что сертификаты прописываются в реестре, следовательно при замене компа реестр создается по новой, сертификат не установится.
При перемещаемом профиле сертификат скорее всего перенесется (пока нет возможности проверить).