Разрешить учетной записи домена изменять ACL определенной службы

У меня есть учетная запись домена Windows, которую я хотел бы иметь возможность изменять ACL определенной службы. В настоящее время эта учетная запись используется для запуска программы установки, и программа установки хочет внести изменения в ACL, но она не работает. Учетная запись является локальным администратором на коробке, но, очевидно, из-за какой-то групповой политики она испытывает сбой аудита при попытке изменить ACL службы.

Как я могу предоставить это разрешение этой учетной записи? Я бы предпочел не изменять групповую политику, если я могу просто явно настроить службу.

Я ценю любые указатели, но особенно полные ответы, так как некоторые из этих концепций являются довольно новыми для меня.

Новая информация:

Я смог достичь этой цели, но, вероятно, слишком широким ударом... в частности, я изменил дескриптор безопасности для службы, используя "sc sdshow" и "sc sdset", и дал учетной записи каждое разрешение, о котором я мог думать в строке SDDL... в частности это: CCDCLCSWRPWPDTLOCRSDRCWDWO

Кто-нибудь знает, какое из них на самом деле соответствует разрешению "изменить ACL", которое я искал?

Также кто-нибудь знает, какая у меня групповая политика, с которой я начал создавать эту проблему (так как при отсутствии групповых политик проблема исчезает)?