Minha experiência é que o logon local e a representação são a mesma permissão (logon local) e não podem ser separados. Ou seja, clicar com o botão direito do mouse em um programa e executar "Executar como usuário diferente" é o mesmo que fazer login diretamente como usuário e executar o programa.
É possível conceder a uma conta a capacidade de executar um serviço separadamente da permissão de logon local, e você pode descobrir que, em vez de executar o serviço com o sistema local, pode executá-lo com a conta do usuário. O serviço e a conta de usuário podem ser criados através do sistema local por meio do PSExec ou de outras ferramentas / métodos.
Em última análise, acho que a maneira como você está tentando realizar sua meta não é possível e você precisará fazer uma alteração no design. Boa sorte, por favor, deixe-me saber se você encontrar uma maneira de me provar errado. Eu adoraria forçar algumas contas de administrador a trabalhar apenas em um 'run as'.