私の知っているやり方では、以下になります。
不要なトラブルや手間を考えると、Administratorsグループに所属させた方が簡単ではあります。
■コマンドプロンプトでscコマンドを使う
---------------------------------------
・まず、sc sdshow [サービス名]でSDDLを確認する
C:\Users\Administrator>sc sdshow W3SVC
D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
・個別に権限を付与したいグループのSIDを確認
C:\Windows\system32>whoami /groups
GROUP INFORMATION
-----------------
グループ名 種類 SID 属性
====================================== ==================== ============ ========================================
Everyone よく知られたグループ S-1-1-0 固定グループ, 既定で有効, 有効なグループ
BUILTIN\IIS_IUSRS エイリアス S-1-5-32-568 固定グループ, 既定で有効, 有効なグループ
今回は対象アカウントが所属する[ IIS_IUSRS ]のSID[ S-1-5-32-568 ]を確認
・アクセス許可をsc sdsetコマンドで付与する
C:\Users\Administrator>sc sdset W3SVC D:(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-32-568)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)
[SC] SetServiceObjectSecurity SUCCESS <--
---------------------------------------
SDDLの差分を見てもらえれば分かりますが、(A;;CCLCSWRPWPDTLOCRRC;;;S-1-5-32-568)を記述する事でサービスに対してIIS_IUSRSのアクセスを許可するように設定(DACLの変更)しています。
そのまま設定出来ればサービスの起動停止は一般ユーザでも可能になります。
