не шарю, но исходя из своих ограниченных знаний, представляю что можно сделать автоматическую развёртку контейнеров с ключами в реестр пользователей.
https://ca.kontur.ru/faq/teh/kopiya-klyuchevogo-ko...
в конце пункт под названием: "Копирование контейнера из реестра другого пользователя"
Это как экспортировать один ключ из реестра в реестр другого юзера. Нужно вытащить один контейнер из реестра, затем написать скрипт на powershell, который будет запрашивать sid текущего пользователя(и разрядность системы, если у вас зоопарк), и подставлять его вместо sid предыдущего пользователя
и получившийся .reg файл запускать. А скрипт распространить можно через групповые политики. Через групповые же политики, распространить и сертификат к полученному контейнеру, там уже так шаманить не нужно.
Должно сработать в теоретической теории, по крайней мере пока что не вижу, почему не должно сработать.