Quando ocorre a detecção plug and play no processo sysprep?

Estou trabalhando em uma imagem do Windows 7 para minha organização. Usamos um pacote de ativação baseado em token que requer instalação durante o modo de auditoria. Aqui está o meu processo

No meu computador mestre:

1. Usando nosso disco de imagem base, instale o sistema operacional. [Não consigo inicializar no modo de auditoria durante a configuração, preciso instalar o sistema operacional primeiro]
2. Instalar todas as atualizações de software
3. Sysprep / generalize / audit / shutdown / unattend: unattend.xml
4. Instalar ativação baseada em token
5. Sysprep / oobe / shutdown / unattend:unattend.xml
6. Capturar imagem

Ao testar a imagem, no entanto, parece que a detecção de plug and play foi feita muito cedo no processo, estou assumindo durante a fase de especialização, o que ocorreria entre as etapas 3 e 4. Na realidade, eu preciso disso ocorrer após o passo 6.

A ativação baseada em token DEVE ser executada APÓS a fase de generalização. A fase de generalização eliminará os certificados que eu instalar.

O que tudo se resume a:

1. Quando ocorre a detecção plug and play?
2. Se ocorrer no local errado, é possível fazer com que ocorra novamente?