Sem modificar o xend para não suportar certas operações, você não pode impedir que alguém com acesso ao dom0 inicie novos domUs, porque alguém que queira iniciar um novo domU pode simplesmente emitir comandos de API. Honestamente, restringir os comandos xm é um pouco perigoso, porque existem maneiras de um domU travar e precisar ser reiniciado.
Além disso, se alguém que não pode ser confiável para não iniciar VMs em momentos impróprios tem raiz em seus domínios, eu realmente acho que suas prioridades de permissão são bêbadas e insanas. Em vez disso, considere restringir os usuários que precisam fazer essas operações limitadas a um usuário não raiz e um script de wrapper ativado para sudo, fornecido para manipular o estado da VM de maneiras aprovadas.