针对你的需求——在无头模式下以桌面管理员身份运行PSExec和NetUse，同时避免明文暴露凭证，这里有几个实用的落地方案：

方案1：利用Windows凭据管理器（首推） #

Windows自带的凭据管理器可以存储目标机器的访问凭据，后续运行NetUse或PSExec时会自动调用，完全不用在脚本里写密码。

操作步骤： #

1. 预先添加凭据（仅需执行一次）
   你可以用cmdkey命令把桌面管理员的凭据存储到当前服务器管理员的凭据库中，这个操作可以单独执行，不用写到正式运行的批处理里：

   cmdkey /add:目标机器的主机名或IP /user:域\桌面管理员账号 /pass:桌面管理员密码
   

   （如果担心这一步的明文密码，也可以用方案2的加密方式来传递密码，避免手动输入）

2. 批处理中直接调用命令
   凭据存储后，运行命令时无需指定密码，系统会自动匹配，全程无头无弹窗：

   • NetUse示例：

     net use \\目标机器名\共享名 /user:域\桌面管理员账号
     

   • PSExec示例：

     psexec \\目标机器名 -u 域\桌面管理员账号 cmd /c "你的目标命令"
     

3. 可选：执行后清理凭据
   如果脚本执行完需要清理痕迹，可以在批处理末尾添加：

   cmdkey /delete:目标机器的主机名或IP
   

方案2：用PowerShell加密密码并读取 #

如果不想依赖凭据管理器，可以把密码加密存储在本地文件中，批处理调用PowerShell读取解密后的密码，再传递给目标命令。

操作步骤： #

1. 生成加密密码文件（仅需执行一次）
   打开PowerShell，执行以下命令（替换成你的实际密码）：

   "桌面管理员密码" | ConvertTo-SecureString -AsPlainText -Force | ConvertFrom-SecureString | Out-File "C:\安全路径\encrypted_pass.txt"
   

   这个加密文件只有生成它的服务器管理员账号能解密，其他用户无法获取明文。

2. 批处理中读取密码并执行命令
   在批处理里通过PowerShell解密密码，再传递给NetUse和PSExec：

   @echo off
   :: 读取加密的密码
   for /f "delims=" %%p in ('powershell -Command "$pass = Get-Content 'C:\安全路径\encrypted_pass.txt' | ConvertTo-SecureString; $bstr = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($pass); [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)"') do set "PASSWORD=%%p"
   
   :: 运行NetUse
   net use \\目标机器名\共享名 /user:域\桌面管理员账号 %PASSWORD%
   
   :: 运行PSExec
   psexec \\目标机器名 -u 域\桌面管理员账号 -p %PASSWORD% cmd /c "你的目标命令"
   
   :: 清空环境变量中的密码（安全兜底）
   set PASSWORD=
   

   全程脚本里不会出现明文密码，无头执行也不会弹出任何窗口。

注意事项 #

• 加密密码文件要设置严格的权限，只允许服务器管理员访问；
• 测试时先在非生产环境验证，避免权限配置问题导致执行失败；
• 如果使用域账号，确保服务器管理员账号有权限跨域调用桌面管理员的凭据或加密文件。

内容的提问来源于stack exchange，提问作者user2752794