GPO para script de logon do PS1 não funciona sem direitos de administrador local para o usuário

Eu tenho um script PowerShell .PS1 que estou tentando aplicar por meio de um script de logon com a Diretiva de Grupo. Aqui está o script .PS1 (muito simples, apenas adiciona o usuário ao grupo Usuários RD):

net localgroup "Remote Desktop Users" "$env:USERDOMAIN\$env:USERNAME" /add

De acordo com RSoP.msc e GPresult , o GPO está sendo aplicado sem problemas. Eu posso executar o PS1 manualmente e funciona (embora como Admin e com Set-ExecutionPolicy Unrestricted ). No entanto, o script não está funcionando, porque o logon do usuário nunca é adicionado ao grupo "Usuários da área de trabalho remota".

Em RSoP.msc na hora da "última execução", está em branco para o script. Eu gostaria de olhar no Visualizador de Eventos para ter uma idéia melhor do motivo pelo qual o script não está funcionando, mas não tenho certeza do que procurar exatamente.

EDITAR: Aparentemente, o script de logon deve ser executado como o usuário conectado, assim ele herda quaisquer permissões que o usuário tenha (ou melhor, não possui). Vou tentar executar o script do lado do computador para ver se ele funcionará sem que o usuário final tenha direitos de administrador local, pois ele estará usando uma conta do sistema.