Comment empêcher l'accès à l'invite de commande pour des utilisateurs spécifiques

Parfois, vous souhaiterez peut-être empêcher un utilisateur particulier d'ouvrir la fenêtre d'invite de commande (cmd.exe) pour un certain nombre de raisons valables. Cet article explique comment empêcher des utilisateurs spécifiques d'ouvrir l'invite de commande ou d'exécuter des fichiers de commandes Windows.

Empêcher l'accès à l'invite de commande pour des utilisateurs spécifiques

Le verrouillage de l'invite de commande peut être effectué à l'aide des autorisations NTFS, en ajoutant un Refuser Entrée d'autorisation (vers cmd.exe) pour un utilisateur ou un groupe spécifique. Cela peut être fait à l'aide de l'outil de console intégré icacls.exe ou la boîte de dialogue Paramètres de sécurité avancés.

Méthode 1: Utilisation de l'utilitaire de ligne de commande ICacls.exe

D'un Invite de commandes élevée ou administrateur fenêtre et exécutez ces commandes :

takeown /f cmd.exe. icacls cmd.exe/refuser ramesh: RX

.. où « ramesh » est le nom d'utilisateur que vous souhaitez empêcher d'accéder à cmd.exe. Pour plus d'informations sur les commandes takeown.exe et icacls.exe, consultez l'article

Prendre possession d'un fichier ou d'un dossier à l'aide de la ligne de commande sous Windows.

---

Méthode 2: Utilisation de la boîte de dialogue Autorisations avancées

1. Ouvrez le C:\Windows\System32 dossier.
2. Cliquez avec le bouton droit sur cmd.exe et cliquez sur Propriétés. Sinon, cliquez sur le Propriétés bouton dans le ruban.
   
3. Sélectionnez l'onglet Sécurité dans la boîte de dialogue des propriétés du fichier et cliquez sur le bouton Avancé. Cela ouvre la boîte de dialogue Paramètres de sécurité avancés.
   
4. Par défaut Installateur de confiance possède cmd.exe. Cliquez sur « Modifier » pour changer la propriété du fichier.
   
5. Tapez « Administrateurs » et appuyez sur ENTRÉE.
   
6. Vous verrez le message suivant. Fermez simplement la boîte de dialogue Autorisations avancées et rouvrez-la.

   Si vous venez de vous approprier cet objet, vous devrez fermer et rouvrir les propriétés de cet objet avant de pouvoir afficher ou modifier les autorisations.

7. Le groupe Administrateurs est désormais le propriétaire du fichier. Vous pouvez maintenant ajouter des entrées d'autorisation selon vos besoins. Cliquez sur Modifier les autorisations, qui va maintenant changer en Ajouter.
   
8. Cliquez sur Ajouter
   
   
9. Cliquez sur Sélectionnez un principal
10. Tapez le nom d'utilisateur (par exemple, ramesh) et cliquez sur OK.
    
11. Du Taper boîte de dialogue, sélectionnez Refuser
    
    
12. Cochez les cases pour Lire, Lire et exécuter, puis cliquez sur OK.

    Voici à quoi ressemblerait la boîte de dialogue Paramètres de sécurité avancés :
    

13. Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez sur OK. Vous verrez les messages suivants. Cliquez sur Oui procéder.

    Vous définissez une entrée d'autorisations de refus. Les entrées de refus ont la priorité sur les entrées d'autorisation. Cela signifie que si un utilisateur est membre de deux groupes, un qui se voit accorder une autorisation et un autre qui se voit refuser la même autorisation, l'utilisateur se voit refuser cette autorisation. Voulez-vous continuer? Vous êtes sur le point de modifier les paramètres d'autorisation sur les dossiers système. Cela peut réduire la sécurité de votre ordinateur et causer des problèmes aux utilisateurs pour accéder aux fichiers. Voulez-vous continuer?

Teste si ça marche

Pour tester si le bloc fonctionne, utiliser Exécuter en tant que (ou runas.exe) pour lancer cmd.exe en tant qu'utilisateur particulier.

runas /user: ramesh c:\windows\system32\cmd.exe

Cela renverrait l'erreur suivante :

Impossible d'exécuter - cmd.exe → 5: l'accès est refusé

Ou connectez-vous simplement à ce compte d'utilisateur et essayez de lancer cmd.exe. L'utilisateur « ramesh » sera incapable de lire ou d'exécuter le fichier.

C'est tout. Vous avez maintenant désactivé l'accès à l'invite de commande (cmd.exe) pour cet utilisateur particulier.