Ich hatte bei uns eine ähnliche Anforderung: Notebook meldet sich lokal an, baut VPN-Verbindung auf, Logon-Script wird gestartet. Wir haben eine ISA Firewall als VPN-Server eingesetzt, daher kann ich eine VPN-Verbindung ganz normal am XP-Client einrichten. Den Aufbau der Verbindung lasse ich nicht dem User über, sondern starte die Verbindung mitels "RASDIAL.EXE". Der Gag an diesem Programm ist, dass es die aktuellen Authentifizierungsdaten für die Verbindung verwendet, es kommt also kein zusätzliches Fenster. Danach bin ich an der Domäne angemeldet und kann das Logonscript ausführen.
Zur besseren Fehlerabfrage und so habe ich das ganze in ein AutoIt-Script verpackt, aber es geht auch mittels Batch-Datei:
c:\windows\system32\RasDial.exe "VPN-Verbindungsname"
ping Domaincontroller -n 1 -w 200
if errorlevel == 1 goto fehler
c:\windows\system32\cscript.exe \\Domaincontroller\Netlogon\logon.vbs
goto ende
:fehler
echo VPN-Verbindung wurde nicht hergestellt!
:ende