Hvordan forhindre kommandoprompt-tilgang for spesifikke brukere

Noen ganger vil du kanskje forhindre at en bestemt bruker åpner ledetekstvinduet (cmd.exe) av en rekke gyldige årsaker. Denne artikkelen forklarer hvordan du forhindrer bestemte brukere fra å åpne ledeteksten eller kjøre Windows-batchfiler.

Hindre kommandoprompt-tilgang for spesifikke brukere

Å låse kommandoprompten kan gjøres ved å bruke NTFS-tillatelser, ved å legge til en Benekte Tillatelsesoppføring (til cmd.exe) for en bestemt bruker eller gruppe. Dette kan gjøres ved å bruke det innebygde konsollverktøyet icacls.exe eller dialogboksen Avanserte sikkerhetsinnstillinger.

Metode 1: Bruke ICacls.exe kommandolinjeverktøy

Fra en forhøyet eller administratorkommandoprompt vindu, og kjør disse kommandoene:

takeow /f cmd.exe. icacls cmd.exe /nekt ramesh: RX
blokkere cmd.exe-tilgang for en bruker

.. hvor "ramesh" er brukernavnet du vil forhindre fra å få tilgang til cmd.exe. For mer informasjon om kommandoene takeown.exe og icacls.exe, sjekk ut artikkelen Ta eierskap til en fil eller mappe ved å bruke kommandolinje i Windows.


Metode 2: Bruke dialogboksen for avanserte tillatelser

  1. Åpne C:\Windows\System32 mappe.
  2. Høyreklikk cmd.exe og klikk Egenskaper. Alternativt, klikk på Egenskaper knappen i båndet.
    blokkere cmd.exe-tilgang for en bruker
  3. Velg kategorien Sikkerhet i dialogboksen for filegenskaper, og klikk på Avansert-knappen. Dette åpner dialogboksen Avanserte sikkerhetsinnstillinger.
    blokkere cmd.exe-tilgang for en bruker
  4. Som standard TrustedInstaller eier cmd.exe. Klikk "Endre" for å endre eierskapet til filen.
    blokkere cmd.exe-tilgang for en bruker
  5. Skriv "Administratorer" og trykk ENTER.
    blokkere cmd.exe-tilgang for en bruker
  6. Du vil se følgende melding. Bare lukk dialogboksen Avanserte tillatelser og åpne den på nytt.

    Hvis du nettopp har tatt eierskap av dette objektet, må du lukke og åpne egenskapene til dette objektet på nytt før du kan se eller endre tillatelser.

  7. Administratorgruppen er nå eieren av filen. Du kan nå legge til tillatelsesoppføringer etter behov. Klikk Endre tillatelser, som nå endres til Legg til.
    blokkere cmd.exe-tilgang for en bruker
  8. Klikk Legg til
    blokkere cmd.exe-tilgang for en bruker
  9. Klikk Velg en rektor
  10. Skriv inn brukernavnet (f.eks. ramesh) og klikk OK.
    blokkere cmd.exe-tilgang for en bruker
  11. Fra Type dialog, velg Benekte
    blokkere cmd.exe-tilgang for en bruker
  12. Aktiver avmerkingsboksene for Lese, Les og utfør, og klikk OK.

    Slik ser dialogboksen Avanserte sikkerhetsinnstillinger ut nå:
    blokkere cmd.exe-tilgang for en bruker

  13. Klikk OK i dialogboksen Avanserte sikkerhetsinnstillinger. Du vil se følgende meldinger. Klikk Ja å fortsette.
    Du angir en avvisning av tillatelser. Avslå oppføringer har forrang over tillat oppføringer. Dette betyr at hvis en bruker er medlem av to grupper, en som har tillatelse og en annen som nektes samme tillatelse, nektes brukeren denne tillatelsen. Vil du fortsette? Du er i ferd med å endre tillatelsesinnstillingene for systemmapper. Dette kan redusere sikkerheten til datamaskinen din og føre til at brukere får problemer med å få tilgang til filer. Vil du fortsette?

Test om det fungerer

For å teste om blokken fungerer, bruk Kjør som (eller runas.exe) for å starte cmd.exe som den aktuelle brukeren.

runas /bruker: ramesh c:\windows\system32\cmd.exe

Det ville gitt følgende feil:

Kan ikke kjøre - cmd.exe → 5: Tilgang nektes

Eller bare logg inn på den brukerkontoen og prøv å starte cmd.exe. Brukeren "ramesh" vil ikke kunne lese eller kjøre filen.

blokkere cmd.exe-tilgang for en bruker

Det er alt. Du har nå deaktivert tilgang til ledetekst (cmd.exe) for den aktuelle brukeren.


En liten forespørsel: Hvis du likte dette innlegget, kan du dele dette?

En "liten" andel fra deg ville virkelig hjelpe mye med veksten av denne bloggen. Noen gode forslag:
  • Fest den!
  • Del den på favorittbloggen din + Facebook, Reddit
  • Tweet det!
Så tusen takk for støtten min leser. Det vil ikke ta mer enn 10 sekunder av tiden din. Del-knappene er rett under. :)