stopServer.sh e startServer.sh têm e devem ter o mesmo privilégio / restrição. Talvez o servidor Admin tenha restringido o stopServer.sh apenas aos usuários admin.
Mas tenho certeza de que esse não é o caso na instalação padrão.
EDITAR
Eu confirmo aqui as novas informações:
O startServer não precisa de user / pass, mesmo se a segurança estiver ativada
O stopServer precisa de credenciais de nome de usuário e senha se a segurança estiver ativada.
IMHO, eles projetam o servidor dessa maneira, porque há mais consequências quando você para um servidor do que quando você o inicia.