StreetFighter

Есть два сервера, оба Windows Server 2003 Standard SP2 R2 со всеми обновлениями: один контроллер домена AD+DHCP+DNS (dc1), второй - сервер служб развертывания Windows (ds1). На сервере служб развертывания установлена политика добавления клиентов: Отвечать всем клиентским компьютерам + Если клиент неизвестен, уведомлять администратора и отвечать после утверждения. Все создаваемые учетные записи компьютеров добавляются в специально созданное организационное подразделение WindowsDS (Настройка сервера - > Служба каталогов -> Расположение учетных записей клиентов -> Следующее месторасположение). В AD на это подразделение делегировано право полного доступа для учетной записи компьютера сервера служб развертывания (ds1$ -> полный досуп на создание объектов всех типов для контейнера, дочерних контейнеров и дочерних объектов). При попытке загрузить клиента по протоколу PXE на сервера ds1 в разделе "Ожидающие устройства" появляется запись с MAC-адресом соответствующего компьютера. При попытке утвердить эту запись (не важно как: просто "утвердить" или "имя и утверждение") появляется сообщение "Именам пользователей не сопоставлены коды защиты данных". В журнале событий появляется ошибка с источником BINLSVC и кодом 524. Эту ошибку уже нашел на technet, но то что там написано уже сделано и не помогает. Пробовал вести аудит доступа к этому OU. Но в журнале аудита нет ни одной записи с типом отказ. Все - успех для сервера ds1$ сначала на создание объекта компьютера, а потом на его удаление. Пробовал запускать службы Windows DS под другой учетной записью (администратор домена) - но тогода не удается получить доступ к разделу "Ожидающие устройства" - появляется сообщение "Отказано в доступе" (при этом права для этой учетной записи давал полные на папку и все дочерние файлы и папки g:\WindowsDS). Как решить эту проблему? Я так понимаю обращение к AD происходить не от учетной записи "Local System" компьютера ds1, а от учетной записи сервиса Windows DS (S-1-5-80-)? Или причина в другом?