我来帮你拆解下NT Authority\System身份下的常见坑，以及对应的脚本调整方向——这个账户的运行环境和普通用户差异真的挺大的：

• 用户环境变量：System账户没有普通用户的%USERPROFILE%、%APPDATA%这类变量，要是脚本里用了这些，必须换成系统级路径或者绝对路径。比如别写$env:USERPROFILE\Documents\script.log，改成C:\ProgramData\YourScript\script.log（记得先创建YourScript文件夹，给System账户配置读写权限）。
• 用户注册表项：如果脚本读写HKCU（当前用户注册表），System账户的HKCU是它自己的独立空间，不是登录用户的。要是需要操作登录用户的注册表，得先获取用户SID，再访问HKU\<SID>路径，或者用Get-CimInstance Win32_UserProfile定位到目标用户的配置文件，加载对应的注册表 hive。

• 网络共享访问：System账户在本地是高权限，但访问网络共享时用的是计算机账户（格式是DOMAIN\你的电脑名$），不是用户账户。如果脚本要访问共享文件夹，得确保这个计算机账户有共享的读写权限；或者用New-PSDrive指定有权限的凭据（注意别明文存密码，优先用组策略存储的凭据或Kerberos委派）。
• 证书与加密操作：如果脚本用到用户证书库的证书，System账户的证书库是单独的。要么把证书导入到本地计算机证书库（而非当前用户），要么在脚本里明确指定证书的绝对路径。

System账户默认没有桌面会话，任何UI交互操作都会静默失败：

• 去掉Read-Host、[System.Windows.Forms.MessageBox]::Show()这类需要用户响应的代码，换成日志输出记录状态。
• 如果需要在用户会话里启动程序，得先通过quser或Get-CimInstance Win32_LogonSession获取用户的会话ID，再用Start-Process的-SessionId参数指定会话启动。

• 执行策略：System账户的PowerShell执行策略可能和普通用户不同，在脚本开头加上这句（只对当前进程生效，不会修改全局设置）：

  Set-ExecutionPolicy Bypass -Scope Process -Force
  

• 文件权限：右键脚本文件→属性→安全，添加NT Authority\System账户，给它读取和执行权限；如果脚本要写日志或修改其他文件，还要给它写入权限。

不管怎么调整，先给脚本加详细日志，方便定位问题：

# 日志路径选系统级可写的位置
$logPath = "C:\ProgramData\YourScript\StartupScript.log"
# 确保日志文件夹存在
New-Item -Path (Split-Path $logPath) -ItemType Directory -Force | Out-Null
# 开启转录日志
Start-Transcript -Path $logPath -Append

# 你的脚本逻辑开始
Write-Host "[$(Get-Date)] 脚本开始执行"
# ... 中间每个关键步骤都加Write-Host记录状态
Write-Host "[$(Get-Date)] 完成XX操作"

# 关闭转录
Stop-Transcript

开机后直接打开这个日志文件，就能看到脚本到底在哪一步卡壳了，比瞎猜高效多了。

内容的提问来源于stack exchange，提问作者D. Liljegren