Para a posteridade ... Eu não tenho ideia do que estava fazendo de errado antes, mas eu revisitei isso e pude fazer isso funcionar duas vezes (uma segunda vez só para ter certeza de que eu não estava louco) usando o processo exato Eu descrevi acima com um objeto de política de grupo.
A única coisa que posso pensar que eu poderia ter feito de forma diferente foi dar aos privilégios de leitura do usuário do Backup, bem como privilégios de Iniciar / Parar / Reiniciar nos serviços.
Obrigado aos que ajudaram.