Ako zabrániť prístupu k príkazovému riadku pre konkrétnych používateľov

Niekedy možno budete chcieť zabrániť konkrétnemu používateľovi v otvorení okna príkazového riadka (cmd.exe) z niekoľkých opodstatnených dôvodov. Tento článok vysvetľuje, ako zabrániť konkrétnym používateľom otvárať príkazový riadok alebo spúšťať dávkové súbory systému Windows.

Zabránenie prístupu k príkazovému riadku pre konkrétnych používateľov

Uzamknutie príkazového riadka je možné vykonať pomocou povolení NTFS pridaním a Popierať Položka povolenia (do cmd.exe) pre konkrétneho používateľa alebo skupinu. To možno vykonať pomocou vstavaného nástroja konzoly icacls.exe alebo dialógové okno Rozšírené nastavenia zabezpečenia.

Metóda 1: Použitie nástroja príkazového riadka ICacls.exe

Od an zvýšené alebo príkazový riadok správcu okno a spustite tieto príkazy:

takeown /f cmd.exe. icacls cmd.exe /deny ramesh: RX
zablokovať používateľovi prístup k cmd.exe

.. kde „ramesh“ je používateľské meno, ktorému chcete zabrániť v prístupe k cmd.exe. Ďalšie informácie o príkazoch takeown.exe a icacls.exe nájdete v článku Prevezmite vlastníctvo súboru alebo priečinka pomocou príkazového riadka v systéme Windows.


Metóda 2: Použitie dialógového okna Rozšírené povolenia

  1. Otvor C:\Windows\System32 priečinok.
  2. Kliknite pravým tlačidlom myši na cmd.exe a kliknite na položku Vlastnosti. Prípadne kliknite na Vlastnosti tlačidlo na páse.
    zablokovať používateľovi prístup k cmd.exe
  3. Vyberte kartu Zabezpečenie v dialógovom okne vlastností súboru a kliknite na tlačidlo Rozšírené. Otvorí sa dialógové okno Rozšírené nastavenia zabezpečenia.
    zablokovať používateľovi prístup k cmd.exe
  4. Predvolene TrustedInstaller vlastní cmd.exe. Kliknutím na „Zmeniť“ zmeníte vlastníctvo súboru.
    zablokovať používateľovi prístup k cmd.exe
  5. Napíšte „Administrators“ a stlačte ENTER.
    zablokovať používateľovi prístup k cmd.exe
  6. Uvidíte nasledujúcu správu. Jednoducho zatvorte dialógové okno Rozšírené povolenia a znova ho otvorte.

    Ak ste práve prevzali vlastníctvo tohto objektu, budete musieť pred zobrazením alebo zmenou povolení zavrieť a znova otvoriť vlastnosti tohto objektu.

  7. Skupina Administrators je teraz vlastníkom súboru. Teraz môžete pridať položky povolení podľa potreby. Kliknite Zmeniť povolenia, ktorý sa teraz zmení na Pridať.
    zablokovať používateľovi prístup k cmd.exe
  8. Kliknite Pridať
    zablokovať používateľovi prístup k cmd.exe
  9. Kliknite Vyberte riaditeľa
  10. Zadajte meno používateľa (napr. ramesh) a kliknite na tlačidlo OK.
    zablokovať používateľovi prístup k cmd.exe
  11. Od Typ dialógové okno, vyberte Popierať
    zablokovať používateľovi prístup k cmd.exe
  12. Povoľte začiarkavacie políčka pre Čítať, Čítať a spustiťa kliknite na tlačidlo OK.

    Takto by teraz vyzeralo dialógové okno Rozšírené nastavenia zabezpečenia:
    zablokovať používateľovi prístup k cmd.exe

  13. V dialógovom okne Rozšírené nastavenia zabezpečenia kliknite na tlačidlo OK. Uvidíte nasledujúce správy. Kliknite Áno pokračovať.
    Nastavujete záznam odmietnutia povolení. Zakázať položky majú prednosť pred povolenými položkami. To znamená, že ak je používateľ členom dvoch skupín, jednej, ktorá má povolené oprávnenie, a druhej, ktorej je rovnaké oprávnenie odmietnuté, toto oprávnenie sa používateľovi zamietne. Chceš pokračovať? Chystáte sa zmeniť nastavenia povolení pre systémové priečinky. To môže znížiť bezpečnosť vášho počítača a spôsobiť, že používatelia budú mať problémy s prístupom k súborom. Chceš pokračovať?

Vyskúšajte, či to funguje

Ak chcete otestovať, či blok funguje, použite Spustiť ako (alebo runas.exe) na spustenie cmd.exe ako konkrétneho používateľa.

runas /user: ramesh c:\windows\system32\cmd.exe

To by spôsobilo nasledujúcu chybu:

Nedá sa spustiť - cmd.exe → 5: Prístup bol odmietnutý

Alebo sa jednoducho prihláste do tohto používateľského účtu a skúste spustiť cmd.exe. Používateľ „ramesh“ nebude môcť čítať alebo spustiť súbor.

zablokovať používateľovi prístup k cmd.exe

To je všetko. Teraz ste zakázali prístup k príkazovému riadku (cmd.exe) pre konkrétneho používateľa.


Jedna malá prosba: Ak sa vám tento príspevok páčil, zdieľajte ho?

Jedno "drobné" zdieľanie od vás by vážne pomohlo rastu tohto blogu. Niekoľko skvelých návrhov:
  • Pripnúť!
  • Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
  • Tweetujte!
Takže veľmi pekne ďakujem za podporu, môj čitateľ. Nezaberie vám to viac ako 10 sekúnd vášho času. Tlačidlá zdieľania sú nižšie. :)