Si el usuario puede iniciar localmente (desde el teclado) del DC podría "tocar" y además meterse en muchos lugares que no debería
Pero lo anterior no implica que no exista solución :-)
El poder apagar una máquina, es un derecho, no un permiso, y por lo tanto lo puedes hacer por directivas
Por ejemplo para que pueda apagar los Domain Controllers (es así, todos o ninguno) deberías editar la Default Domain Controllers Policy, y agregar la cuenta del usuario en (lo tengo en inglés):
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assignment / Force Shutdown from a Remote System
Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / User Rights Assignment / Shutdown the System
Para el caso de otros servidores, deberías crear una GPO que se aplique a dichos servidores, con las mismas configuraciones
Me faltaba la última parte, agrego:
Desde una estación de trabajo revisa el comando SHUTDOWN /? que tiene varias opciones
Guillermo Delprato - Buenos Aires, Argentina
Visite Windows Server - Todos los Paso a Paso
MVP [Directory Services] - MCT - MCSE - MCSA
MCSA Windows Server 2012
MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.