Іноді вам може знадобитися заборонити певному користувачеві відкривати вікно командного рядка (cmd.exe) з кількох поважних причин. У цій статті пояснюється, як заборонити певним користувачам відкривати командний рядок або запускати пакетні файли Windows.
Заборонити доступ до командного рядка для певних користувачів
Блокування командного рядка можна зробити за допомогою дозволів NTFS, додавши a Заперечити Запис дозволу (до cmd.exe) для певного користувача або групи. Це можна зробити за допомогою вбудованого інструменту консолі icacls.exe або діалогове вікно параметрів додаткової безпеки.
Спосіб 1. Використання утиліти командного рядка ICacls.exe
Від ан підвищений або командний рядок адміністратора вікно та запустіть ці команди:
takeown /f cmd.exe. icacls cmd.exe /deny ramesh: RX
.. де «ramesh» — це ім'я користувача, якому ви хочете заборонити доступ до cmd.exe. Щоб отримати додаткові відомості про команди takeown.exe та icacls.exe, перегляньте статтю Візьміть право власності на файл або папку за допомогою командного рядка в Windows.
Спосіб 2. Використання діалогового вікна розширених дозволів
- Відкрийте
C:\Windows\System32папку. - Клацніть правою кнопкою миші cmd.exe і виберіть «Властивості». Або натисніть кнопку Властивості кнопка на стрічці.
- Виберіть вкладку Безпека у діалоговому вікні властивостей файлу та натисніть кнопку Додатково. Відкриється діалогове вікно Додаткові параметри безпеки.
- За замовчуванням
TrustedInstallerволодіє cmd.exe. Натисніть «Змінити», щоб змінити право власності на файл. - Введіть «Адміністратори» і натисніть ENTER.
- Ви побачите таке повідомлення. Просто закрийте діалогове вікно Додаткові дозволи та відкрийте його знову.
Якщо ви щойно отримали право власності на цей об’єкт, вам потрібно буде закрити та знову відкрити властивості цього об’єкта, перш ніж ви зможете переглядати або змінювати дозволи.
- Група адміністраторів тепер є власником файлу. Тепер ви можете додавати записи дозволів за потребою. Натисніть Змінити дозволи, який тепер зміниться на Додати.
- Натисніть Додати
- Натисніть Виберіть директора
- Введіть ім’я користувача (наприклад, рамеш) і натисніть OK.
- Від Тип діалогове вікно, виберіть Заперечити
- Увімкніть прапорці для Прочитайте, Прочитати та виконатиі натисніть кнопку OK.
Ось як тепер буде виглядати діалогове вікно додаткових параметрів безпеки:
- У діалоговому вікні «Додаткові параметри безпеки» натисніть «ОК». Ви побачите такі повідомлення. Натисніть Так продовжити.
Ви встановлюєте запис заборони дозволів. Заборонені записи мають пріоритет над дозволами. Це означає, що якщо користувач є членом двох груп, одній з яких надано дозвіл, а іншій, якій заборонено такий самий дозвіл, користувачу буде відмовлено в цьому дозволі. Ви хочете продовжити? Ви збираєтеся змінити налаштування дозволів для системних папок. Це може знизити безпеку вашого комп’ютера та спричинити проблеми з доступом до файлів у користувачів. Ви хочете продовжити?
Перевірте, чи працює
Щоб перевірити, чи працює блок, використовуйте Run As (або runas.exe), щоб запустити cmd.exe від імені цього конкретного користувача.
runas /user: ramesh c:\windows\system32\cmd.exe
Це призведе до такої помилки:
Неможливо запустити - cmd.exe → 5: доступ заборонено
Або просто увійдіть до цього облікового запису користувача та спробуйте запустити cmd.exe. Користувач «ramesh» не зможе прочитати або виконати файл.
Це все. Тепер ви вимкнули доступ до командного рядка (cmd.exe) для цього конкретного користувача.
Одне невелике прохання: якщо вам сподобався цей пост, поділіться ним?
Одна ваша "крихітна" публікація серйозно допомогла б у розвитку цього блогу. Кілька чудових пропозицій:- Закріпіть!
- Поділіться ним у своєму улюбленому блозі + Facebook, Reddit
- Твіттер!