Item 1 - Acho que entendi sua pergunta. Você está perguntando sobre um script definido em um GPO versus um script definido no campo de script de login do usuário no AD? Então você está no caminho certo, mas um pouco errado. Um script de login do GPO definido na Configuração do usuário (ou um script de login do usuário do AD) é executado como o usuário - ele é executado no login desse usuário, portanto, ele é executado como o usuário. Um script de inicialização de máquina, definido em um GPO de Configuração do Computador, será executado como a conta NT AUTHORITY / SYSTEM da estação de trabalho local.
Item 2 - não correto, NT AUTHORITY / SYSTEM tem apenas direitos no sistema local em que está sendo executado - em seu cenário, essa é a estação de trabalho. Essa conta não terá direitos para o compartilhamento de rede. Se você estiver executando como um script de inicialização, assim como SYSTEM, poderá permitir que o GUEST seja capaz de gravar nesse compartilhamento e pasta, mas não ler. Se você estiver executando como um script de login, poderá permitir que "Usuários do domínio" escrevam, mas não leiam.
Em qualquer cenário, desde que cada instância do script esteja gravando em um CSV único, talvez o nome da estação de trabalho em execução, possivelmente concatenado com a data e hora, seja bom.
Item 3 - como o JScott disse, você pode definir isso em Grupos Restritos, em vez de investigar e corrigir manualmente. É melhor definir o que você quer na política do que aplicar band-aids.
EDITAR:
Item 3 opção 2 - escreva ou encontre uma função para conectar-se remotamente a uma máquina Windows e despejar os membros (recursivamente) do grupo Administradores local. Crie uma matriz de todas as máquinas no seu domínio. Como uma conta com privilégios de administrador, em uma máquina com acesso a todas as máquinas, execute essa função no array, talvez com algumas verificações / logs inteligentes de máquinas que não podem ser acessadas, para que você possa executá-las novamente e / ou limpar seu AD se houver máquinas obsoletas. Exporte a saída para seus arquivos CSV.