いくつかの正当な理由により、特定のユーザーがコマンドプロンプトウィンドウ(cmd.exe)を開かないようにしたい場合があります。 この記事では、特定のユーザーがコマンドプロンプトを開いたり、Windowsバッチファイルを実行したりできないようにする方法について説明します。
特定のユーザーのコマンドプロンプトアクセスを防止する
コマンドプロンプトのロックダウンは、NTFSアクセス許可を使用して、 拒否 特定のユーザーまたはグループの(cmd.exeへの)アクセス許可エントリ。 これは、組み込みのコンソールツールを使用して実行できます icacls.exe または[セキュリティの詳細設定]ダイアログ。
方法1:ICacls.exeコマンドラインユーティリティを使用する
から 昇格または管理者コマンドプロンプト ウィンドウを開き、次のコマンドを実行します。
takeown / fcmd.exe。 icacls cmd.exe / deny ramesh:RX
.. ここで、「ramesh」は、cmd.exeにアクセスできないようにするユーザー名です。 takeown.exeおよびicacls.exeコマンドの詳細については、記事を確認してください。 Windowsのコマンドラインを使用してファイルまたはフォルダの所有権を取得する.
方法2:[高度なアクセス許可]ダイアログを使用する
- を開きます
C:\ Windows \ System32フォルダ。 - cmd.exeを右クリックし、[プロパティ]をクリックします。 または、をクリックします プロパティ リボンのボタン。
- [ファイルのプロパティ]ダイアログで[セキュリティ]タブを選択し、[詳細設定]ボタンをクリックします。 これにより、[セキュリティの詳細設定]ダイアログが開きます。
- デフォルトでは
TrustedInstallercmd.exeを所有しています。 「変更」をクリックして、ファイルの所有権を変更します。 - 「Administrators」と入力してEnterキーを押します。
- 次のメッセージが表示されます。 [高度なアクセス許可]ダイアログを閉じて、再度開きます。
このオブジェクトの所有権を取得したばかりの場合は、権限を表示または変更する前に、このオブジェクトのプロパティを閉じてから再度開く必要があります。
- これで、Administratorsグループがファイルの所有者になります。 これで、必要に応じて権限エントリを追加できます。 クリック 権限の変更、これは次のように変更されます 追加.
- クリック 追加
- クリック プリンシパルを選択
- ユーザー名を入力します(例: ramesh)、[OK]をクリックします。
- から タイプ ダイアログで、 拒否
- のチェックボックスを有効にする 読む, 読み取りと実行、[OK]をクリックします。
[セキュリティの詳細設定]ダイアログは次のようになります。
- [セキュリティの詳細設定]ダイアログで、[OK]をクリックします。 次のメッセージが表示されます。 クリック はい 続行します。
許可の拒否エントリを設定しています。 エントリの拒否は、エントリの許可よりも優先されます。 つまり、ユーザーが2つのグループのメンバーであり、1つはアクセス許可を許可され、もう1つは同じアクセス許可を拒否された場合、ユーザーはそのアクセス許可を拒否されます。 続けますか? システムフォルダの権限設定を変更しようとしています。 これにより、コンピュータのセキュリティが低下し、ユーザーがファイルにアクセスする際に問題が発生する可能性があります。 続けますか?
それが機能するかどうかをテストします
ブロックが機能するかどうかをテストするには、 実行として使用 (またはrunas.exe)を使用して、その特定のユーザーとしてcmd.exeを起動します。
runas / user:ramesh c:\ windows \ system32 \ cmd.exe
次のエラーがスローされます。
実行できません-cmd.exe→5:アクセスが拒否されました
または、そのユーザーアカウントにログインして、cmd.exeを起動してみてください。 ユーザー「ramesh」は、ファイルを読み取ったり実行したりできなくなります。
それで全部です。 これで、その特定のユーザーのコマンドプロンプト(cmd.exe)へのアクセスが無効になりました。
1つの小さなリクエスト:この投稿が気に入った場合は、これを共有してください。
あなたからの1つの「小さな」共有は、このブログの成長に真剣に役立つでしょう。 いくつかの素晴らしい提案:- ピンする!
- お気に入りのブログ+ Facebook、Redditに共有してください
- ツイートしてください!