As permissões padrão do Windows são baseadas em coisas como "contas de usuários" (ou "grupos"), não em softwares específicos, como uma "interface de linha de comando". Usuários experientes da linha de comando devem ser capazes de fazer qualquer coisa que possa ser feita através de uma GUI. A abordagem mais direta que pensei instantaneamente seria desabilitar totalmente a linha de comando, renomeando o CMD.EXE, mas os efeitos colaterais provavelmente seriam atrozes.
Tenho certeza de que isso pode ser feito com um shell personalizado (código aberto). No entanto, não estou antecipando uma maneira fácil de fazer isso. Em vez de restringir como uma pessoa pode acessar a pasta, uma postura de segurança mais sólida seria restringir o que uma pessoa pode fazer (independentemente de como ela pretenda fazê-lo).
Se você está tentando bloquear algo mais específico, pode haver, ou não, opções mais viáveis; Mais detalhes sobre o que você está procurando evitar podem ser úteis.