Autorizzazioni consigliate per account di servizio virtuale in Windows 7+

Sto provando ad avere un installatore NSIS installare un servizio personalizzato come parte di un'installazione. Sarebbe bello eseguire il servizio con uno di quei servizi di servizio virtuale stile NT Service \ xyz, disponibili in Win 7 e successivi. Come potresti immaginare dalla Win7, questa è una distribuzione su una macchina client, non un server.

Funziona bene nella mia macchina di prova, ma ho dei dubbi circa l'approccio corretto alle autorizzazioni per questo utente del servizio, soprattutto quando le GPO di dominio potrebbero essere in effetti.

Nel caso semplice, il servizio riceve le sue autorizzazioni "Accesso come servizio" tramite l'adesione di NT SERVICE \ ALL SERVICES, ma ho visto casi in cui questo non è il caso e questo gruppo ha le autorizzazioni esplicitamente revocate tramite GPO.

Quindi la domanda è: se un programma di installazione per una macchina client esplica creare / configurare un ACL per concedere "Logon as a Service" al nuovo utente virtuale di servizi creati di recente o dovrebbe sperare / fare affidamento sul "servizio NT \ All Services" gruppo per concedere tali autorizzazioni?

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.