Добавление: прошу прощения, не сразу разобрался в вашей проблеме. Итак,
Нажатие кнопки Далее вызовет диалоговое окно мандатов, и вам нужно ввести мандаты для выполнения установки (рисунок 6). Поскольку группы образов имеют разрешения чтения и выполнения (Allow Read and Execute) для всех образов встроенной идентификации аутентифицированных пользователей, здесь подойдут мандаты любого пользователя домена. Обратите внимание, что в строке заголовка диалогового окна мандатов также отображено имя сервера Windows DS, к которому подключен клиентский компьютер.
http://www.redline-software.com/upload/articles/net/deploying-vista-part22/6.jpg
Взято отсюда (http://www.netdocs.ru/articles/deploying-vista-part22.html).
Учетные данные пользователя, под которым будет производиться установка, можно настроить через Unattend.xml в свойствах сервера WDS:
http://img13.imageshost.ru/img/2012/07/26/image_5010d17145064.png (http://imageshost.ru/)
У меня кусок Unattend.xml выглядит так:
<WindowsDeploymentServices>
<Login>
<Credentials>
<Domain>my_domain</Domain>
<Username>mdt_join</Username>
<Password>123456*ZxC</Password>
</Credentials>
</Login>
<ImageSelection>
<InstallImage>
<Filename>seven.wim</Filename>
<ImageGroup>Windows 7</ImageGroup>
<ImageName>Windows_7</ImageName>
</InstallImage>
<InstallTo>
<DiskID>0</DiskID>
<PartitionID>1</PartitionID>
</InstallTo>
</ImageSelection>
</WindowsDeploymentServices>
Немного о "особой" учетной записи mdt_join (создается самостоятельно (http://www.oszone.net/12837/Windows-7-install-21), но крайне полезна в работе):
...предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:
1. Откройте консоль Active Directory Users and Computers.
2. Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
3. Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
4. Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
5. Нажмите Дополнительно (Advanced), чтобы открыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
6. Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
7. В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ' Создавать объекты компьютера (Create computer objects) ' Удалять объекты компьютера (Delete computer objects)
8. Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ' Чтение всех свойства (Read all properties) ' Запись всех свойств (Write all properties) ' Разрешения чтения (Read permissions) ' Разрешения записи (Write permissions) ' Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы
9. Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.
Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена.