Use a Política de Grupo.
Crie e vincule um GPO à UO onde as contas de computador RDSH estão.
Ative o processamento da política de loopback no modo de mesclagem.
Configure a configuração do usuário na imagem abaixo.
Acabei de descobrir no outro dia que mesmo usuários não administradores podem reinicializar / desligar o servidor de terminal do Windows Server 2012 R2. Tudo o que eles precisam fazer é clicar na bandeira do Windows no canto inferior esquerdo, depois clicar no botão liga / desliga e todas as opções de energia regular estão disponíveis para eles!
Como faço para restringir essa permissão?
Por padrão, somente os administradores têm o direito de desligar (ou reinicializar) um servidor Windows. Se esse não for o caso em seu servidor, é provável que você tenha uma política de grupo existente que altere a configuração padrão.
Comece verificando a política de segurança local, caso a configuração tenha sido alterada localmente. Caso contrário, você precisará localizar o GPO que está alterando a configuração "Encerrar o sistema" e corrigi-lo ou adicionar um novo GPO para substituí-lo, talvez apenas para esses servidores específicos, dependendo de suas necessidades.
A configuração de política relevante é chamada "Encerrar o sistema" e pode ser encontrada em Configuração do computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Atribuição de direitos de usuário - > Desligue o sistema.