Hur man förhindrar kommandotolksåtkomst för specifika användare

Ibland kanske du vill förhindra en viss användare från att öppna kommandotolksfönstret (cmd.exe) av ett antal giltiga skäl. Den här artikeln förklarar hur du förhindrar specifika användare från att öppna kommandotolken eller köra Windows-batchfiler.

Förhindra kommandotolksåtkomst för specifika användare

Låsning av kommandotolken kan göras med NTFS-behörigheter, genom att lägga till en Förneka Behörighetsinmatning (till cmd.exe) för en specifik användare eller grupp. Detta kan göras med det inbyggda konsolverktyget icacls.exe eller dialogrutan Avancerade säkerhetsinställningar.

Metod 1: Använda ICacls.exe kommandoradsverktyg

Från en förhöjd eller administratörskommandotolk fönster och kör dessa kommandon:

takeow /f cmd.exe. icacls cmd.exe /neka ramesh: RX

.. där "ramesh" är användarnamnet som du vill hindra från att komma åt cmd.exe. För mer information om kommandon takeown.exe och icacls.exe, kolla in artikeln Ta äganderätten till en fil eller mapp med kommandoraden i Windows.

---

Metod 2: Använd dialogrutan Avancerade behörigheter

1. Öppna C:\Windows\System32 mapp.
2. Högerklicka på cmd.exe och klicka på Egenskaper. Alternativt, klicka på Egenskaper knappen i bandet.
   
3. Välj fliken Säkerhet i dialogrutan för filegenskaper och klicka på knappen Avancerat. Detta öppnar dialogrutan Avancerade säkerhetsinställningar.
   
4. Som standard Pålitlig installerare äger cmd.exe. Klicka på "Ändra" för att ändra äganderätten till filen.
   
5. Skriv "Administratörer" och tryck på ENTER.
   
6. Du kommer att se följande meddelande. Stäng helt enkelt dialogrutan Avancerade behörigheter och öppna den igen.

   Om du precis har tagit äganderätten till det här objektet måste du stänga och öppna objektets egenskaper igen innan du kan visa eller ändra behörigheter.

7. Administratörsgruppen är nu ägare till filen. Du kan nu lägga till behörighetsposter efter behov. Klick Ändra behörigheter, som nu kommer att ändras till Lägg till.
   
8. Klick Lägg till
   
   
9. Klick Välj en rektor
10. Skriv användarnamnet (t.ex. ramesh) och klicka på OK.
    
11. Från Typ dialog, välj Förneka
    
    
12. Aktivera kryssrutorna för Läsa, Läs & köroch klicka på OK.

    Så här skulle dialogrutan Avancerade säkerhetsinställningar nu se ut:
    

13. Klicka på OK i dialogrutan Avancerade säkerhetsinställningar. Du kommer att se följande meddelanden. Klick Ja att fortsätta.

    Du ställer in en post för neka behörigheter. Neka poster har företräde framför tillåta poster. Detta innebär att om en användare är medlem i två grupper, en som får en behörighet och en annan som nekas samma behörighet, nekas användaren den behörigheten. Vill du fortsätta? Du håller på att ändra behörighetsinställningarna för systemmappar. Detta kan minska din dators säkerhet och göra att användare får problem med att komma åt filer. Vill du fortsätta?

Testa om det fungerar

För att testa om blocket fungerar, använd Kör som (eller runas.exe) för att starta cmd.exe som den specifika användaren.

runas /användare: ramesh c:\windows\system32\cmd.exe

Det skulle ge följande fel:

Det går inte att köra - cmd.exe → 5: Åtkomst nekad

Eller helt enkelt logga in på det användarkontot och försök starta cmd.exe. Användaren "ramesh" kommer inte att kunna läsa eller köra filen.

Det är allt. Du har nu inaktiverat åtkomst till kommandotolken (cmd.exe) för just den användaren.