Você pode definitivamente usar a Diretiva de Grupo para conceder aos usuários direitos para iniciar / parar serviços. Você só precisa modificar o descritor de segurança no serviço usando a extensão do lado do cliente da política de grupo "Segurança".
Uma pequena advertência: Eu vi casos em que alguns serviços não gostam da permissão padrão que uma modificação baseada em política de grupo coloca em um serviço (veja esta postagem sobre o serviço de Pesquisa do Windows se você quiser ver o que eu estou falando: link ), mas isso tem sido incomum na minha experiência.
Para "ver" o serviço no editor de Diretiva de Grupo, você precisará fazer a edição em um computador que tenha o serviço instalado. (Se este for um serviço Windows de ações, não é grande coisa, mas se for algo de terceiros em uma máquina que o tenha instalado, "runas" uma cópia do MMC e snap-in um editor de Diretiva de Grupo voltado para o GPO onde você deseja colocar essas configurações.)
Em "Configurações do Computador", "Configurações do Windows", "Configurações de Segurança" e "Serviços do Sistema", localize o serviço para o qual deseja conceder permissão de início / parada e defina uma configuração de política. Você tem que escolher um tipo de inicialização. Clique em "Editar segurança" e modifique a ACL padrão para incluir as permissões que você está procurando.
Eu recomendaria testar o GPO em um grupo restrito de computadores (vinculando o GPO a uma UO de teste com um único computador ou filtrando o GPO para apenas um único computador) e certificando-se de que ele faz o que deseja antes de você mudar a segurança em todos os seus computadores apenas para descobrir que não faz o que você quer.
Veja um pouco do que as várias entradas em uma ACE significam para serviços:
Para ver os descritores na notação SDDL, use o comando "sc sdshow service-name".
Editar:
A permissão delegada para criar novos serviços será um pouco difícil. Há um direito "SC_MANAGER_CREATE_SERVICE" que pode ser concedido a usuários no objeto gerenciador de controle de serviço (SCM) no gerenciador de objetos global.
Nas versões do Windows até o Windows Server 2003, os direitos não puderam ser alterados no SCM. A partir do W2K3 SP1, você pode alterar os direitos no SCM.
A API para alterar a segurança é SetServiceObjectSecurity , e mais informações estão disponíveis aqui: link
Mais algumas referências sobre: os direitos que podem ser concedidos ao SCM e o conjunto padrão de DACL no SCM estão disponíveis aqui: link
Em suma, não há como fazer isso sem escrever código. Não há uma configuração mágica de registro, etc. Se você conseguir que alguém escreva o código para você, é totalmente possível.