windows security não usuário admin e prompt de comando

Você realmente precisa seguir algumas orientações. Ao endurecer um sistema operacional, milhares de itens de configuração podem ser personalizados de muitas maneiras diferentes. Um bom lugar para começar é com a orientação do CIS (Center for Internet Security). O CIS publica benchmarks de segurança para os sistemas operacionais e aplicativos mais comuns. Você pode fazer o download dos benchmarks aqui: link

Em relação à sua pergunta original, eu rapidamente examinei o documento do Windows 7 CIS Benchmark e parece não mencionar o bloqueio do prompt de comando ou do PowerShell. Dito isso, também verifiquei a orientação do CESG (diretrizes de segurança de TI do governo do Reino Unido) e eles sugerem o uso do AppLocker para impedir o acesso do usuário ao CMD.exe. link

TLDR: A segurança é difícil, e o nível de 'bloqueio' que você coloca sobre seus usuários será diferente do nível que eu aplico ao meu. Se os seus usuários não precisarem acessar o prompt do cmd, não os forneça. Antes de removê-lo, considere se você precisa ou não manter o CMD.exe para solucionar problemas do usuário final (em execução no contexto dos usuários conectados).

Em 99% de todas as empresas que dão aos funcionários apenas contas de usuário (e não contas de administrador) é suficiente.

Não comece a tentar remover ferramentas do sistema, como o cmd, ou bloquear o painel de controle ou remover o acesso ao C-Drive ou a quaisquer soluções engraçadas.

Portanto, não, não remova o acesso à linha de comando. É uma perda de tempo.

O problema é que 99% das empresas têm segurança ruim.

O cmd.exe pode ser removido por meio da configuração de política de grupo "Impedir acesso ao prompt de comando". Está em Configuração do Usuário \ Políticas \ Modelos Administrativos \ Sistema.

Se você habilitar essa configuração em um GPO vinculado no nível do domínio, por exemplo, poderá usar um filtro de segurança para conceder aos usuários desejados acesso ao cmd.exe.