С ADCS Enterprise CA вы можете использовать автоматическую регистрацию сертификатов, которая может автоматически запрашивать и обновлять сертификаты для пользователей и компьютеров. . Я написал новый технический документ о том, как это работает, в деталях: Автоматическая регистрация сертификатов в Windows Server 2016 . Существует загружаемая копия документа.

Вкратце, это делается следующим образом:

1. Настройте политику автоматической регистрации в GPO, как указано в разделе Настройка политики автоматической регистрации .
2. Примените GPO к соответствующему контейнер (OU, домен, сайт).
3. Найдите подходящий шаблон сертификата, который вы хотите развернуть. Перейдите на вкладку «Безопасность» и предоставьте соответствующим группам (пользователям, компьютерам или контроллерам домена) следующие разрешения: чтение, регистрация и автоматическая регистрация.
4. Опубликовать шаблон в CA для выдачи.
5. ????
6. PROFIT

Последний два элемента подразумевают, что вам нужно подождать, пока GPO не будет применен к клиентам.

Примечание: для успешной автоматической регистрации имя субъекта сертификата должно быть создано из Active Directory.

Обновление

В вашем конкретном вопросе, вам нужно только настроить GPO автоматической регистрации и опубликовать шаблон Kerberos Authentication в CA, если он еще не добавлен. У этой команды уже есть все необходимые разрешения.