Cheguei ao resultado, que usando um script powershell de dois estágios resolve o meu problema. Eu escrevi um script de serviço, que é iniciado pelo agendador de tarefas do Windows com privilégios administrativos completos, conforme descrito neste link: link
A tarefa de serviço abre um canal nomeado e escuta uma conexão do cliente. O pipe é protegido por sua ACL, de modo que apenas o usuário criador e a conta de usuário local, que devem ser capazes de criar usuários locais, possam ler / gravar. Eu desenvolvi um protocolo de texto simples para listar e adicionar usuários. O script de serviço faz o trabalho de adicionar usuários e o frontend é apenas listar os usuários e invocar o comando "add".
Ambos os scripts são protegidos por permissões restritivas do sistema de arquivos para evitar modificações.