Dar Privilégio de Link Simbólico para Usuários de Domínio do Windows

Eu gostaria de configurar usuários selecionados em nosso domínio para poder criar links simbólicos em unidades NTFS locais e compartilhamentos de rede sem a necessidade de executar como Administrador, como parte de um aplicativo com a API CreateSymbolicLink () diretamente. A configuração padrão para nossos usuários é ser Administrador do seu computador e eu acho que estou lutando com o UAC para fazer os privilégios funcionarem da maneira que eu quero por causa disso. Eu encontrei este link no MSDN que descreve a interação entre o SeCreateSymbolicLinkPrivilege, o UAC e um domínio, mas realmente não tem uma solução. Aqui estão as três opções que eu criei:

1. Crie um novo grupo, atribua o SeCreateSymbolicLinkPrivilege ao grupo e atribua usuários ao grupo
2. Dê a cada usuário individual (2 agora, mais tarde) o privilégio
3. Dê o privilégio ao grupo de usuários padrão, que abre para todos os usuários
4. Alterar configuração para que os usuários não sejam administradores por padrão (provavelmente funcionariam, mas não provável)

Com base nos meus testes, apenas 3 funcionam para mim e isso é o menos desejável, mas eu só tenho um servidor local para testar, não um domínio. Preciso recomendar ao administrador como configurá-lo e também ter algo que possamos explicar facilmente a outros usuários de nosso aplicativo que estão em seu próprio domínio ou não em um domínio. A outra opção parece ser criar um Serviço que seja executado com uma conta SYSTEM que crie os links para o aplicativo, mas prefiro não seguir essa rota.