Пришёл к выводу, если используется прозрачная аутентификация в AD, а клиент обновляется через GPO, то автоматическое обновление клиента с сервера - зло.
Во-первых, оно всегда требует повышенных прав, а отключать UAC на клиентских компьютерах потенциально опасно.
Во-вторых, было замечено порядка 10 случаев, когда после автоматического обновления клиента он не мог нормально запуститься и открывал бесконечное количество окон с ошибкой, и два случая, когда после автоматического обновления у клиента портилась ветка в реестре ([HKEY_CURRENT_USER\Software\MyChat Client]), в неё записывался какой-то бред, в результате чего не проходила прозрачная аутентификация.