Jak uniemożliwić dostęp do wiersza poleceń określonym użytkownikom?

Czasami możesz chcieć uniemożliwić określonemu użytkownikowi otwarcie okna wiersza polecenia (cmd.exe) z kilku ważnych powodów. W tym artykule wyjaśniono, jak uniemożliwić określonym użytkownikom otwieranie wiersza polecenia lub uruchamianie plików wsadowych systemu Windows.

Blokuj dostęp do wiersza poleceń dla określonych użytkowników

Blokowanie wiersza polecenia można wykonać za pomocą uprawnień NTFS, dodając Zaprzeczyć Wpis uprawnień (do cmd.exe) dla określonego użytkownika lub grupy. Można to zrobić za pomocą wbudowanego narzędzia konsoli icacls.exe lub okno dialogowe Zaawansowane ustawienia zabezpieczeń.

Metoda 1: Korzystanie z narzędzia wiersza polecenia ICacls.exe

Z podniesiony lub wiersz polecenia administratora i uruchom te polecenia:

przejęcie /f cmd.exe. icacls cmd.exe /deny ramesh: RX

.. gdzie „ramesh” to nazwa użytkownika, któremu chcesz uniemożliwić dostęp do cmd.exe. Aby uzyskać więcej informacji na temat poleceń takeown.exe i icacls.exe, zapoznaj się z artykułem Przejmij na własność plik lub folder za pomocą wiersza poleceń w systemie Windows.

---

Metoda 2: Korzystanie z okna dialogowego Zaawansowane uprawnienia

1. Otworzyć C:\Windows\System32 teczka.
2. Kliknij prawym przyciskiem myszy cmd.exe i kliknij Właściwości. Alternatywnie, kliknij Nieruchomości przycisk na wstążce.
   
3. Wybierz kartę Zabezpieczenia w oknie dialogowym właściwości pliku i kliknij przycisk Zaawansowane. Spowoduje to otwarcie okna dialogowego Zaawansowane ustawienia zabezpieczeń.
   
4. Domyślnie Zaufany instalator jest właścicielem cmd.exe. Kliknij „Zmień”, aby zmienić właściciela pliku.
   
5. Wpisz „Administratorzy” i naciśnij ENTER.
   
6. Zobaczysz następujący komunikat. Po prostu zamknij okno dialogowe Uprawnienia zaawansowane i otwórz je ponownie.

   Jeśli właśnie przejąłeś własność tego obiektu, będziesz musiał zamknąć i ponownie otworzyć właściwości tego obiektu, zanim będziesz mógł przeglądać lub zmieniać uprawnienia.

7. Grupa Administratorzy jest teraz właścicielem pliku. Możesz teraz dodawać wpisy uprawnień zgodnie z wymaganiami. Kliknij Zmień uprawnienia, który teraz zmieni się na Dodać.
   
8. Kliknij Dodać
   
   
9. Kliknij Wybierz zleceniodawcę
10. Wpisz nazwę użytkownika (np. ramesh) i kliknij OK.
    
11. Od Rodzaj okno dialogowe, wybierz Zaprzeczyć
    
    
12. Zaznacz pola wyboru dla Czytać, Przeczytaj i wykonaji kliknij OK.

    Tak wyglądałoby teraz okno dialogowe Zaawansowane ustawienia zabezpieczeń:
    

13. W oknie dialogowym Zaawansowane ustawienia zabezpieczeń kliknij OK. Zobaczysz następujące komunikaty. Kliknij tak kontynuować.

    Ustawiasz wpis odmowy uprawnień. Wpisy Odrzuć mają pierwszeństwo przed wpisami Zezwól. Oznacza to, że jeśli użytkownik jest członkiem dwóch grup, jednej, która ma przyznane uprawnienie, a drugiej, której odmówiono tego samego uprawnienia, użytkownikowi odmawia się tego uprawnienia. Czy chcesz kontynuować? Zamierzasz zmienić ustawienia uprawnień do folderów systemowych. Może to zmniejszyć bezpieczeństwo komputera i spowodować, że użytkownicy będą mieli problemy z dostępem do plików. Czy chcesz kontynuować?

Sprawdź, czy to działa

Aby sprawdzić, czy blok działa, użyj Uruchom jako (lub runas.exe), aby uruchomić cmd.exe jako ten konkretny użytkownik.

runas /user: ramesh c:\windows\system32\cmd.exe

Spowoduje to wyświetlenie następującego błędu:

Nie można uruchomić - cmd.exe → 5: Odmowa dostępu

Lub po prostu zaloguj się do tego konta użytkownika i spróbuj uruchomić cmd.exe. Użytkownik „ramesh” nie będzie mógł odczytać ani wykonać pliku.

To wszystko. Wyłączyłeś teraz dostęp do wiersza polecenia (cmd.exe) dla tego konkretnego użytkownika.