O problema de codificar uma senha de administrador no arquivo de script é que você está expondo a senha diretamente ao usuário. Se você não se importa em fazer isso, é melhor dar apenas direitos de administrador ao usuário (mesmo que seja temporário).
Para esta atualização, eu entendo que os direitos que você precisa são: Arquivos e diretórios de backup (SeBackupPrivilege) Depurar Programas (SeDebugPrivilege) Gerenciar auditoria e log de segurança (SeSecurityPrivilege)
Se puder, use algo como psexec - link para executar a atualização remotamente. Então você pode implantá-lo de um sistema remoto, onde você pode inserir credenciais de administrador e apontar a atualização para o sistema de destino.
Isso é o mais leve que você consegue, até onde eu sei. Depois disso, você precisará investigar as opções de implantação remota. link