Come impedire l'accesso al prompt dei comandi per utenti specifici

A volte potresti voler impedire a un particolare utente di aprire la finestra del prompt dei comandi (cmd.exe) per una serie di validi motivi. Questo articolo spiega come impedire a utenti specifici di aprire il prompt dei comandi o di eseguire file batch di Windows.

Impedisci l'accesso al prompt dei comandi per utenti specifici

È possibile bloccare il prompt dei comandi utilizzando i permessi NTFS, aggiungendo a Negare Voce di autorizzazione (a cmd.exe) per un utente o un gruppo specifico. Questo può essere fatto usando lo strumento console integrato icacls.exe o la finestra di dialogo delle impostazioni di sicurezza avanzata.

Metodo 1: utilizzo dell'utilità della riga di comando ICacls.exe

Da un Prompt dei comandi con privilegi elevati o amministratore finestra ed esegui questi comandi:

takeown /f cmd.exe. icacls cmd.exe /deny ramesh: RX

.. dove "ramesh" è il nome utente a cui si desidera impedire l'accesso a cmd.exe. Per ulteriori informazioni sui comandi takeown.exe e icacls.exe, consulta l'articolo

Assumi la proprietà di un file o di una cartella utilizzando la riga di comando in Windows.

---

Metodo 2: utilizzo della finestra di dialogo Autorizzazioni avanzate

1. Apri il C:\Windows\System32 cartella.
2. Fare clic con il pulsante destro del mouse su cmd.exe e fare clic su Proprietà. In alternativa, fare clic su Proprietà pulsante nel nastro.
   
3. Selezionare la scheda Sicurezza nella finestra di dialogo delle proprietà del file e fare clic sul pulsante Avanzate. Questo apre la finestra di dialogo Impostazioni di sicurezza avanzate.
   
4. Per impostazione predefinita Installatore di fiducia possiede cmd.exe. Fare clic su "Cambia" per modificare la proprietà del file.
   
5. Digitare "Amministratori" e premere INVIO.
   
6. Vedrai il seguente messaggio. Chiudi semplicemente la finestra di dialogo Autorizzazioni avanzate e riaprila.

   Se hai appena acquisito la proprietà di questo oggetto, dovrai chiudere e riaprire le proprietà di questo oggetto prima di poter visualizzare o modificare le autorizzazioni.

7. Il gruppo Administrators è ora il proprietario del file. Ora puoi aggiungere le voci di autorizzazione come richiesto. Clic Modifica autorizzazioni, che ora cambierà in Aggiungere.
   
8. Clic Aggiungere
   
   
9. Clic Seleziona un preside
10. Digitare il nome utente (ad es. ramesh) e fare clic su OK.
    
11. Dal Tipo finestra di dialogo, selezionare Negare
    
    
12. Abilita le caselle di controllo per Leggi, Leggi ed eseguie fare clic su OK.

    Ecco come apparirà la finestra di dialogo Impostazioni di sicurezza avanzate:
    

13. Nella finestra di dialogo Impostazioni di sicurezza avanzate, fare clic su OK. Vedrai i seguenti messaggi. Clic sì procedere.

    Stai impostando una voce di negazione delle autorizzazioni. Le voci Nega hanno la precedenza sulle voci Consenti. Ciò significa che se un utente è membro di due gruppi, uno a cui è concessa un'autorizzazione e l'altro a cui è negata la stessa autorizzazione, all'utente viene negata tale autorizzazione. Vuoi continuare? Stai per modificare le impostazioni dei permessi nelle cartelle di sistema. Ciò può ridurre la sicurezza del computer e causare problemi agli utenti nell'accesso ai file. Vuoi continuare?

Prova se funziona

Per verificare se il blocco funziona, usa Esegui come (o runas.exe) per avviare cmd.exe come quel particolare utente.

runas /user: ramesh c:\windows\system32\cmd.exe

Ciò genererebbe il seguente errore:

Impossibile eseguire - cmd.exe → 5: accesso negato

O semplicemente accedi a quell'account utente e prova ad avviare cmd.exe. L'utente "ramesh" non sarà in grado di leggere o eseguire il file.

È tutto. Ora hai disabilitato l'accesso al prompt dei comandi (cmd.exe) per quel particolare utente.