Ibland kanske du vill förhindra att en viss användare öppnar kommandotolken (cmd.exe) av ett antal giltiga skäl. Den här artikeln förklarar hur man förhindrar specifika användare från att öppna kommandotolken eller köra Windows Batch-filer.
Hur man blockerar kommandotolptillgång för specifika användare
Låsning av kommandotolken kan göras med NTFS-behörigheter genom att lägga till en post för att neka tillåtelse (till cmd.exe) för en specifik användare eller grupp. Detta kan göras med hjälp av det inbyggda konsolverktyget ICacls.exe
eller dialogrutan Advanced Security Settings.
Metod 1: Använda kommandoradverktyget ICacls.exe
Från ett upphöjd eller administratörskommandotolk och kör dessa kommandon:
takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX
.. där "ramesh" är det användarnamn som du vill förhindra att komma åt cmd.exe. Mer information om kommandon takeown.exe och icacls.exe finns i artikeln Ta äganderätt till en fil eller mapp med kommandoraden i Windows .
Metod 2: Använda dialogrutan Avancerade behörigheter
Öppna mappen C:\Windows\System32
.
Högerklicka på cmd.exe och klicka på Egenskaper. Klicka alternativt på Egenskaper- knappen i bandet.
Välj fliken Säkerhet i dialogrutan för filegenskaper och klicka på knappen Avancerat. Detta öppnar dialogrutan Avancerade säkerhetsinställningar.
Som standard äger TrustedInstaller
cmd.exe. Klicka på "Ändra" för att ändra ägandet av filen.
Skriv "Administratörer" och tryck på ENTER.
Följande meddelande visas. Stäng helt enkelt dialogrutan Avancerade behörigheter och öppna den igen.
Om du just har tagit ägande av detta objekt måste du stänga och öppna objektets egenskaper igen innan du kan se eller ändra behörigheter.
Administratörsgruppen är nu ägaren till filen. Du kan nu lägga till behörighetsposter efter behov.
Klicka på Ändra behörigheter, som nu kommer att ändras till Lägg till .
Klicka på Lägg till
Klicka på Välj en huvudman
Skriv in användarnamnet (t.ex. ramesh ) och klicka på OK.
I dialogrutan Type väljer du Avvisa
Aktivera kryssrutorna för Läs, Läs & Kör och klicka på OK.
Så här ser dialogrutan Advanced Security Settings nu ut:
Klicka på OK i dialogrutan Avancerade säkerhetsinställningar. Följande meddelanden visas. Klicka på Ja för att fortsätta.
Du ställer in en post för att neka behörigheter. Neka poster har företräde framför tillåtna poster. Detta innebär att om en användare är medlem i två grupper, en som har tillstånd och en annan som nekas samma tillåtelse, nekas användaren det tillståndet.
Vill du fortsätta?
Du håller på att ändra behörighetsinställningarna i systemmappar. Detta kan minska din dators säkerhet och göra att användare får problem med att komma åt filer. Vill du fortsätta?
För att testa om blocket fungerar använder du Run As (eller runas.exe) för att starta cmd.exe som den specifika användaren.
runas / user: ramesh c: \ windows \ system32 \ cmd.exe
Det skulle kasta följande fel:
Det gick inte att köra - cmd.exe => 5: Åtkomst nekasEller logga in helt enkelt på det användarkontot och försöka starta cmd.exe. Användaren "ramesh" kan inte läsa eller köra filen.
Det är allt. Du har nu inaktiverat åtkomst till Command Prompt (cmd.exe) för just den användaren.