Existem algumas contas de serviço (ha!) em uso pelo SCCM. Nenhuma das contas de "operação diária" precisa ser um administrador de domínio que eu possa lembrar (exceto talvez durante a instalação e a extensão de esquema do AD). Veja a descrição das funções aqui: link
As instalações executáveis são executadas em nós de extremidade usando a conta SYSTEM local ou o usuário conectado (Instalar pelo sistema, Instalar pelo usuário). Parece que você está tendo problemas com a Conta de Acesso à Rede , que o cliente usa para acessar o repositório de pacotes.
Para encurtar a história, você tem uma conta inadequada de permissão alta executando tarefas (conta de acesso à rede) que não exigem nenhum nível significativo de permissão.
Para sua sorte, você pode especificar muitas contas de serviço em uma lista aqui para não quebrar a funcionalidade, começando a propagar uma conta de baixo risco para a base de clientes.