Hola osvaldodegregorio, cuando instalas una entidad certificadora raíz en tu dominio, automáticamente los servidores y las máquinas del dominio, reciben una copia del certificado público de la entidad certificadora del dominio.
Con este certificado, las máqunas pueden evaluar si un certificado ofrecido por un servicio (ej: OWA,Outlook Anyware, etc) es válido (ha sido firmado por la entidad certificadora del dominio). Por eso es que lo deben tener localmente o no podrían validar los certificados.
Nota: No es que se copie el certificado privado de la entidad certificadora del dominio a las máquinas, lo que se copia es el certificado público, tal como tenemos en nuestras máquinas los certificados públicos como se ve en la imagen.
En esta misma lista debes verificar que los clientes tengan el certificado raíz de tu entidad certificadora, si no lo tienen, entonces debes revisar si hay un problema con la entidad certificadora o con el Active Directory.
El proceso que describes en tu pregunta, lo debes realizar manualmente para máquinas que no pertenecen al dominio y que van a usar el servicio de Outlook Anyware, OWA, etc.
Esto también se debe hacer en los teléfonos móviles para que puedan verificar la valides de los certificados que reciben al conectarse a nuestro Exhange.
Si no queremos hacer este proceso manualmente, debemos entonces comprar un certificado público. Al tener las máquinas y los teléfonos instalados ya de fábrica, los certificados raíz de estas empresas, no es necesario importarlos manualmente. Por eso se recomienda usar un certificado comprado en vez de uno "hecho en casa".