У меня как раз для этих целей, а также некоторых других, сделано так:
1. На рабочих станциях либо в настройках окружения DOS либо в свойстве новелл клиента Long Machine Name прописывается уникальное имя стании. (по станциям один раз пробежаться все-таки надо);
2. Пишется bat-файл, следующего вида:
if exist myserver:sys\updt_log\patch1_%wks_name% goto end
<делаем то что нужно>
echo Ok>patch1_%wks_name%
:end
Имя файла-семафора содержит имя/номер патча и имя рабочей станции.
3. Запускаем из логин-скрипта этот батник.
У пользователей не дожно быть прав удаления из папки
myserver:sys\updt_log, чтобы случайно не инициировали повторный запуск всех обновлений удалив все файлы.
В одном батнике можно сделать цепочку из таких фрагментов для запуска кучи обновлений, тогда не надо будет каждый раз для добавления обновления править логин-скрипт.
У меня эта конструкция работает уже несколько лет. В общем и целом устраивает, хотя конечно накладки возможны. В частности никак не отлеживается успешность операции. Но зато все просто и не нужны никакие стороннии продукты.
Бат-файлы - rules
P.S. Чтобы не напрягало окно DOS-сессии (которое еще к тому же не закрывается по умолчании после отработки файла) в папке, откуда запускается батник нужно создать pif-файл с соответсвующими настройками окна одноименный с бат-файлом.