Как обновить СОС и сертификаты УЦ посредством GPO ?

Как я понимаю, не только я сталкивался с такой задачей. Поэтому очень хочется обсудить этот вопрос.
На сервере вставлен флешка с эл. сертификатом. С этим эл. сертификатом работает много сотрудников, которые все являются пользователями Active Directory. Все они работаю посредством удалённых рабочих столов. По сути, обновить серфитикаты можно двумя способами:
1) Нажимает на элемент меню как на скрине и всё обновляется.

2) Можно использовать bat-файл, который выкачивает всё что нужно с удостоверяющего центра.

1-ый вариант отваливаетя автоматически т.к. посредством AD такое не сделать. Поэтому решено реализовать эту затею при помощи bat-файла.
Изначально, только у администратора появляется ссылка на bat-файл, который расположен по адресу
C:\Program Files (x86)\Avest\AvPCM_nces
Есс-но, доступ к этому каталогу у всех пользователей AD нет и быть не омжет.
Имеется вариант, добавить всем на рабочий стол этот ярлык посредством GPO и каждый сам сможет нажимать на этот ярлык, выкачиваю обновления отозванных сертификатов.
но у меня появилось желание, сделать это автоматически. Чтобы при входе пользователя в систему запускался сам bat-ник.
Я создал объект групповой политики "Обновление СОС" как на скрине:

Нажимаю по нему правой кнопкой. Далее "Изменить". Перехожу в Конфигурации пользователя - Политики - Конфигурация Windows и нажимаю Вход в систему.
В открывшемся окне нажимаю кнопку "Показать файлы". Открывается каталог, куда как я понимаю нужно поместить файл-сценарий.
Вот этот путь:

Код:

\\zhks2.bookKeeping\SysVol\zhks2.bookKeeping\Policies\{A215F313-7569-43AD-A1D6-26F3EC1EA413}\User\Scripts\Logon

Туда же я помещаю свой bat-ник.
Вот что получилось:

Открываю Power Shell. Прописываю команду gpupdate /force.
Захожу по-любым пользователем, к которому пременена эта политика и понимаю, что при входе в систему сценарий не запустился. Окошко консоли не открылось. В чём причина?

bat-файл get_crl.bat, который нужно запустить прикрепляю к этому сообщению.