O que eu acabei fazendo foi: remover o GPO que aplicava o logon como serviço correto e confiar em máquinas individuais para conceder o direito, conforme necessário, ao instalar serviços nessas máquinas.
Essa é uma solução bastante autorreguladora, já que services.msc concederá o direito a partir da página de propriedades quando você definir a senha da conta de serviço. E algo equivalente aparentemente acontece quando você instala aplicativos que precisam de um serviço.