Hat sich erledigt:
Wenn ein User in GAL veröffentlichen drückt, dann wird nicht nur unter userCertificate gespeichert (was man dann auch in "Veröffentlichte Zertifikate" sieht) sondern auch unter dem Attribut userSMIMECertificate, das sonst nirgens in Erscheinung tritt.
Bekommt der User jetzt zum Beispiel ein zweites Exchange-Postfach dazu und dann ein neues Zertifikat, so kann er nicht mehr in GAL veröffentlichen weil der Button fehlt und der Administrator muss es im AD veröffentlichen.
Dann wird es aber nur unter userCertificate geschrieben und userSMIMECertificate bleibt so wie es ist.
Exchange und Outlook benutzten aber wohl beides.
Man kann diese Verhalten auch verhindern: siehe Link