Wie verwende ich Befehlszeilentools (psexec, netuse), die Anmeldeinformationen erfordern, ohne diese im Klartext in den Protokollen anzuzeigen?

Hier sind zunächst meine Einschränkungen:

1. Ich führe PSExec und Netuse aus einer Batchdatei aus.
2. Ich muss als anderer Benutzer als der aktuell angemeldete Benutzer arbeiten. Wir haben ein striktes Berechtigungsschema, bei dem Serveradministratoren keine Desktopadministratoren sind und umgekehrt. Ich führe meine Batchdatei als Serveradministrator aus und muss auf dem Zielcomputer die Anmeldeinformationen eines Desktopadministrators verwenden.
3. Keine Einschränkung, nur ein Hinweis. Ich habe die vollständige Kontrolle und den Zugriff auf beide dieser benötigten Konten.
4. Muss headless sein, es darf kein Popup mit der Aufforderung zur Eingabe eines Passworts erscheinen.

Meine derzeitige Nutzung funktioniert mit den Flags -uund -p( /userfür die Netznutzung), aber zu meinem großen Entsetzen zeigte mir ein Sicherheitsbeamter, dass mein Passwort im Klartext protokolliert wurde. Ich hätte mir darüber im Klaren sein müssen. Ich hatte Maßnahmen ergriffen, um alles nicht interaktiv zu halten, und das Passwort nie im Klartext gespeichert, aber natürlich würde es im Protokoll angezeigt werden.

Gibt es eine Möglichkeit, dies zu tun? Ich möchte, dass der Befehl protokolliert wird, aber natürlich nicht, wenn ein so großes Sicherheitsrisiko besteht.

Die normale Lösung besteht darin, das Skript als Benutzer mit erhöhten Rechten auszuführen, und alle Befehle werden als dieser Benutzer ausgeführt. Aufgrund der Berechtigungsaufteilung kann ich das Skript jedoch überhaupt nicht auf dem Server ausführen, wenn ich es als Desktop-Administrator ausführe. Wenn ich es als Server-Administrator ausführe, werden alle meine Remote-Versuche abgelehnt.