Como usar as ferramentas de linha de comando (psexec, netuse) que exigem credenciais sem expô-las a texto sem formatação nos logs?

Em primeiro lugar, aqui estão minhas limitações:

1. Estou executando o PSExec e o Netuse de um arquivo em lote.
2. Eu preciso rodar como um usuário diferente do que está logado atualmente. Temos um esquema de permissão estrito em que os administradores do servidor não são administradores de desktop e vice-versa. Estou executando meu arquivo de lote como um administrador de servidor e preciso usar credenciais de administrador de área de trabalho na máquina de destino.
3. Não é uma limitação, apenas uma nota. Eu tenho controle total e acesso a ambas as contas necessárias.
4. Precisa estar sem cabeça, não pode ter um pop-up pedindo para digitar uma senha.

Meu uso atual funciona usando os -u e -p flags ( /user para net use), mas para meu horror um segurança me mostrou que minha senha estava sendo registrada em texto simples. Eu deveria ter percebido que esse seria o caso. Eu tinha tomado medidas para manter tudo não interativo e nunca armazenei a senha em texto simples, mas é claro que o log a veria.

Existe uma maneira de fazer isso? Eu quero que o comando seja logado, mas obviamente não enquanto tiver um risco de segurança tão grande.

A solução normal é executar o script como um usuário elevado e todos os comandos são executados como esse usuário. No entanto, devido à divisão de permissões, se eu o executar como administrador da área de trabalho, não será possível executar o script no servidor. Se eu executar como administrador do servidor, todas as minhas tentativas remotas serão negadas.