Как использовать инструменты командной строки (psexec, net use), требующие учетных данных, не открывая их в виде обычного текста в журналах?

Прежде всего, вот мои ограничения:

1. Я запускаю PSExec и Netuse из командного файла.
2. Мне нужно работать от имени другого пользователя, чем тот, который сейчас вошел в систему. У нас есть строгая схема разрешений, при которой администраторы серверов не являются администраторами рабочего стола и наоборот. Я запускаю свой командный файл как администратор сервера, и мне нужно использовать учетные данные администратора рабочего стола на целевой машине.
3. Не ограничение, просто примечание. У меня есть полный контроль и доступ к обеим этим необходимым учетным записям.
4. Должен быть безголовым, не может быть всплывающего окна с просьбой ввести пароль.

Мое текущее использование работает с использованием -u и -p флаги (/user для использования в сети), но, к моему ужасу, сотрудник службы безопасности показал мне, что мой пароль записывается в виде обычного текста. Я должен был понять, что это так. Я предпринял шаги, чтобы все не было интерактивным, и никогда не сохранял пароль в виде обычного текста, но, конечно же, в журнале это будет видно.

Есть ли способ сделать это? Я хочу, чтобы команда регистрировалась, но, очевидно, без такой большой угрозы безопасности.

Обычное решение - запустить сценарий от имени пользователя с повышенными привилегиями, и все команды выполняются от имени этого пользователя. Однако из-за разрыва разрешений, если я запускаю его как администратор рабочего стола, я вообще не могу запустить скрипт на сервере. Если я запускаю его как администратор сервера, все мои удаленные попытки будут отклонены.