Jak zablokować dostęp do wiersza poleceń określonym użytkownikom

2019-01-10 23:18:59
Główny·Microsoft·Jak zablokować dostęp do wiersza poleceń określonym użytkownikom

Czasami możesz chcieć uniemożliwić danemu użytkownikowi otwarcie okna wiersza polecenia (cmd.exe) z kilku ważnych powodów. W tym artykule wyjaśniono, jak uniemożliwić określonym użytkownikom otwieranie wiersza polecenia lub uruchamianie plików wsadowych systemu Windows.

Jak zablokować dostęp do wiersza poleceń określonym użytkownikom

Zablokowanie wiersza polecenia można wykonać za pomocą uprawnień NTFS, dodając pozycję Odmów uprawnień (do cmd.exe) dla określonego użytkownika lub grupy. Można to zrobić za pomocą wbudowanego narzędzia konsoli ICacls.exe lub okna dialogowego Zaawansowane ustawienia zabezpieczeń.

Metoda 1: Korzystanie z narzędzia wiersza polecenia ICacls.exe

W oknie z podwyższonym poziomem uprawnień lub w oknie Wiersz polecenia administratora uruchom następujące polecenia:

 takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX 

.. gdzie „ramesh” to nazwa użytkownika, któremu chcesz uniemożliwić dostęp do cmd.exe. Aby uzyskać więcej informacji na temat poleceń takeown.exe i icacls.exe, zapoznaj się z artykułem Przejęcie własności pliku lub folderu za pomocą wiersza polecenia w systemie Windows .


Metoda 2: Korzystanie z okna dialogowego Uprawnienia zaawansowane

Otwórz folder C:\Windows\System32 .

Kliknij prawym przyciskiem myszy cmd.exe i kliknij Właściwości. Alternatywnie kliknij przycisk Właściwości na wstążce.

Wybierz kartę Zabezpieczenia w oknie dialogowym właściwości pliku i kliknij przycisk Zaawansowane. Spowoduje to otwarcie okna dialogowego Zaawansowane ustawienia zabezpieczeń.

Domyślnie TrustedInstaller jest właścicielem cmd.exe. Kliknij „Zmień”, aby zmienić własność pliku.

Wpisz „Administratorzy” i naciśnij ENTER.

Zobaczysz następujący komunikat. Po prostu zamknij okno Zaawansowane uprawnienia i otwórz je ponownie.

Jeśli właśnie przejąłeś własność tego obiektu, będziesz musiał zamknąć i ponownie otworzyć właściwości tego obiektu, zanim będziesz mógł zobaczyć lub zmienić uprawnienia.

Grupa administratorów jest teraz właścicielem pliku. Możesz teraz dodać wpisy uprawnień zgodnie z wymaganiami.

Kliknij Zmień uprawnienia, które teraz zmienią się na Dodaj .

Kliknij Dodaj

Kliknij Wybierz podmiot główny

Wpisz nazwę użytkownika (np. Ramesh ) i kliknij OK.

W oknie dialogowym Typ wybierz opcję Odmów

Zaznacz pola wyboru Odczyt, Odczyt i Wykonaj, a następnie kliknij OK.

Tak wyglądałoby teraz okno dialogowe Zaawansowane ustawienia zabezpieczeń:

W oknie dialogowym Zaawansowane ustawienia zabezpieczeń kliknij przycisk OK. Zobaczysz następujące wiadomości. Kliknij Tak, aby kontynuować.

Ustawiasz pozycję odmowy uprawnień. Odmawiaj wpisów ma pierwszeństwo przed zezwoleniami. Oznacza to, że jeśli użytkownik jest członkiem dwóch grup, jednej, której zezwolono na uprawnienie, a drugiej odmówiono tego samego uprawnienia, użytkownikowi odmówiono tego uprawnienia.
Czy chcesz kontynuować?

Zamierzasz zmienić ustawienia uprawnień do folderów systemowych. Może to zmniejszyć bezpieczeństwo komputera i powodować problemy z dostępem do plików. Czy chcesz kontynuować?

Aby sprawdzić, czy blok działa, użyj polecenia Uruchom jako (lub runas.exe), aby uruchomić program cmd.exe jako tego konkretnego użytkownika.

 runas / user: ramesh c: \ windows \ system32 \ cmd.exe 

To spowodowałoby następujący błąd:

Nie można uruchomić - cmd.exe => 5: Odmowa dostępu

Lub po prostu zaloguj się do tego konta użytkownika i spróbuj uruchomić cmd.exe. Użytkownik „ramesh” nie będzie mógł odczytać lub wykonać pliku.

To wszystko. Wyłączono teraz dostęp do wiersza polecenia (cmd.exe) dla tego konkretnego użytkownika.

Wybór Redakcji