Navega hasta la clave,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

Y en el adiciona un nuevo valor dword, llamado "DisableCMD", puede
contener diversos valores:

0 = no configurado (deshabilitado)
1 = previene la ejecución de CMD y de script bat (archivos de procesos
por lotes)
2 = previene la ejecución de cmd, pero no de los script.

Nota: Ubicar este valor en esta rama especifica del registro  inhabilitaría el uso de cmd.exe, a todo el mundo, administradores incluidos.

Para que no puedan ejecuta command.com, msdos.pif, etc, etc, tan solo  tienes que restringir permisos de ejecución, (click en la pestaña de suguridad, que veras al acceder a sus propiedades) en el archivo
"ntvdm.exe", este archivo, ubicado \WINDOWS\system32, esta encargado de proporcionar compatibilidad de 16 bits, a las aplicaciones que la requieran, (command.com es una aplicación de 16 bits), al denegar
permisos de ejecución sobre los grupos de usuarios que prefieras, estos no podrán ejecutar ninguna aplicación de 16 bits, ni command.com, ni msdos.pif... ni nada, de nada.... es decir, que si tienes el Contaplus,
del grupoSP, tampoco lo podrán ejecutar,  por que se ejecuta en modo de 16 bits.. pero si no  tienes aplicaciones de este tipo este tip de puede ser util.