Möchte man den Benutzern die Möglichkeit nehmen Batch-Files auszuführen, oder den Kommandozeileninterpreter aufzurufen, geht das folgendermassen
unter:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

legen Sie einen neuen Eintrag an mit den Namen “DisableCMD” als Datentyp REG_DWORD (ggf. Windows und System auch erstellen).

Sie können hier jetzt folgende Werte setzen:

0 oder Schlüssel nicht Vorhanden Anwender kann CMD.EXE ausführen
1 Anwender kann CMD.EXE nicht ausführen, das System kann aber noch Batch-Dateien ausführen
2 Anwender kann keine CMD.EXE ausführen und das System darf auch keine Batch-Dateien mehr starten.