Standardmäßig läufts ja so:
Admin Rechte am Server -> Service (in meinen Fall Tomcat) als „Local System“ oder Admin User -> fertig
In manchen Fällen kann/darf man es sich aber nicht so einfach machen, z.B. nach einen PenTest usw
Und hier kam die Herausforderung:
Einen User (in der lokalen Users Gruppe) soweit Rechte geben damit das Tomcat Service ordnungsgemäß lief.
Verzeichnissrechte gesetzt -> und es funktionierte nicht.
Nach einiger Zeit des suchens stellte sich zuerst mal die grundsätzliche Frage:
Kann man mit einen loakalen User der nur in der lokalen User Gruppe ist ein Service betreiben? Ja, funktioniert mit folgenden Hinweis:
Wenn ihr in den Log On Settings des Services den User eintragt wird das Recht zum Anmelden als Service automatisch gesetzt -> soweit die Theorie.
Sollte es dennoch nicht funktionieren dann checkt mal folgenden Eintrag:

Start -> Administrative Tools -> Local Security Policy -> Local Policys -> User Rights Assignment
und dort gibt es die Policy „Log on as a service“
Wenn dort euer User nicht drinnen ist, einfach hinzufügen. Bei mir funtktionierte dann alles Einwandfrei.