Ich habe es mir nur krz angesehen. Das Problem ist das Admin deny only, welches den Zugriff verweigert.
Muss ich mir aber auch nochmal ansehen. Da ich gerade keine Zeit habe, kann ich es nicht machen.
Ich habe daher den Vorschlag:

1. Du benutzt des Aufgabenplaner (Task Scheduler), um eine Anwendung zu starten.
2. Du erstellst deinen eigenen Dienst, der die Aufgabe erledigt. Mein Prog Runassys startet auch einen eigenen Dienst mit einem Adminprozess.

Vllt hast du ja dann noch Lust das eigentliche Problem, warum man kein eigenens restriktives Token erstellen und gut nutzen kann, zu erforschen. Ein Artikel und Unterstützung durch den JEDI API Blog würde ich stellen.