А вариант запускать этот cmd от имени технологической учётной записи не подходит?
И в крон, и в службу можно забить от какой учётки стартовать... Если запускает пользователь - то либо шифт-пкм -> запустить от имени, либо дать права этому юзеру, от кого стартует cmd

Запуск cmd от system нет смысла, т.к. copy от system локального ПК не имеет привилегий как system в сервере AD.
Так и есть - планировщик задач запускает cmd с целью бекапа доков юзера, и после успешной архивации кидает текущий архив на сервер. Но сервер однажды перестал принимать архивы, нет их и всё, логи пустые, просто скопировано 0. И только после применения дедуктивно-наблюдательных методов товарища Шерлока выяснилось что при старте новой сессии гостевого доступа на сетевую папку запрашивает авторизация (окно логин/пароль). И посокльку copy не умеет отрабатывать запросы авторизации, то скопировано 0 файлов((((.
Надеюсь понятно объяснил?

Ни разу не сталкивался с такого рода схемой, обычно на недоменных машинах через control userpasswords2 добавляют логин-пароль для сервера, либо делают через net use x: \\server\share /user:domain\user password и далее копируют уже на примапленный диск.

Я имел ввиду не system, а специально созданную учётную запись на сервере AD, которая имеет права как на машине, с которой копируем, так и на машине, куда копируем... Разница - пароль не устаревает, а сам логин/пароль знает только админ, который настроил планировщик...

Очевидно, что машины не в домене, поэтому запустить локальный скрипт из-под доменной учетки не получится. Зато на эту тему вспомнился случай - имелся контроллер домена и куча машин, в домен не входящих. Пришла разнарядка - паленый виндовый сервер снести. А там и общая папка, и архивы, и много разных документов, доступ к которым надо разграничить. В итоге накатили самбу, на самбе настроили КД, продублировали учетные данные с компов (логин-пароль), ну и все заработало - юзвери стучались на сервер, авторизовывались локальной учеткой, все воркало. Единственное что - машины должны иметь рабочую группу как NETBIOS-имя домена.

Так что можно загнать все компы в одну группу и 1) завести одну учетку для синхронизации в AD, создать идентичную учетку на компах вне домена, запускать скрипт от имени этого пользователя 2) продублировать в AD учетки с локальных компьютеров, запускать от имени локального пользователя. Ну это если вариант с маппингом диска не подходит.