Как заблокировать доступ к командной строке для определенных пользователей

Иногда вы можете запретить определенному пользователю открывать окно командной строки (cmd.exe) по ряду веских причин. В этой статье объясняется, как запретить отдельным пользователям открывать командную строку или запускать пакетные файлы Windows.

Как заблокировать доступ к командной строке для определенных пользователей

Блокировку командной строки можно выполнить с помощью разрешений NTFS, добавив отказываться от Запись разрешения (для cmd.exe) для определенного пользователя или группы. Это можно сделать с помощью встроенного консольного инструмента. ICacls.exe или диалог настроек расширенной безопасности.

Способ 1. Использование утилиты командной строки ICacls.exe

В окне командной строки администратора или администратора введите следующие команды:

takeown /f cmd.exe
icacls cmd.exe /deny ramesh:RX

заблокировать доступ к cmd.exe для пользователя

.. где «ramesh» — это имя пользователя, которому вы хотите запретить доступ к cmd.exe. Дополнительную информацию о командах takeown.exe и icacls.exe можно найти в статье «Управление владельцем файла или папки с помощью командной строки в Windows».

Способ 2. Использование диалогового окна «Дополнительные разрешения»

Открыть C:\Windows\System32 папки.

Щелкните правой кнопкой мыши cmd.exe и выберите Свойства. Поочередно нажмите свойства кнопка на ленте.

заблокировать доступ к cmd.exe для пользователя

Выберите вкладку «Безопасность» в диалоговом окне свойств файла и нажмите кнопку «Дополнительно». Откроется диалоговое окно «Дополнительные параметры безопасности».

заблокировать доступ к cmd.exe для пользователя

По умолчанию TrustedInstaller владеет cmd.exe. Нажмите «Изменить», чтобы изменить владельца файла.

заблокировать доступ к cmd.exe для пользователя

Введите «Администраторы» и нажмите клавишу ВВОД.

заблокировать доступ к cmd.exe для пользователя

Вы увидите следующее сообщение. Просто закройте диалоговое окно «Дополнительные разрешения» и снова откройте его.

Если вы только что вступили во владение этим объектом, вам нужно будет закрыть и снова открыть свойства этого объекта, прежде чем вы сможете просматривать или изменять разрешения.

Администратор группы теперь является владельцем файла. Теперь вы можете добавлять записи разрешений по мере необходимости.

щелчок Изменить разрешения, который теперь изменится на Добавлять.

заблокировать доступ к cmd.exe для пользователя

щелчок Добавлять

заблокировать доступ к cmd.exe для пользователя

щелчок Выберите принципала

Введите имя пользователя (например, Рамеш) и нажмите ОК.

заблокировать доступ к cmd.exe для пользователя

От Тип выберите отказываться от

заблокировать доступ к cmd.exe для пользователя

Включить флажки для Читать, Читать казнить, и нажмите ОК.

Вот так теперь будет выглядеть диалоговое окно «Дополнительные параметры безопасности»:

заблокировать доступ к cmd.exe для пользователя

В диалоговом окне «Дополнительные параметры безопасности» нажмите «ОК». Вы увидите следующие сообщения. Нажмите Да, чтобы продолжить.

Вы устанавливаете запись о запрете доступа. Запрещенные записи имеют приоритет над разрешенными записями. Это означает, что если пользователь является членом двух групп, одной из которых разрешено разрешение, а другой — то же разрешение, то пользователю будет отказано в этом разрешении.
Вы хотите продолжить?

Вы собираетесь изменить настройки разрешений для системных папок. Это может снизить безопасность вашего компьютера и вызвать проблемы с доступом к файлам. Вы хотите продолжить?

Чтобы проверить, работает ли блок, используйте Run As (или runas.exe), чтобы запустить cmd.exe от имени этого конкретного пользователя.

runas /user:ramesh c:\windows\system32\cmd.exe

Это приведет к следующей ошибке:

Невозможно запустить — cmd.exe => 5: доступ запрещен

Или просто войдите в эту учетную запись пользователя и попробуйте запустить cmd.exe. Пользователь «ramesh» не сможет прочитать или выполнить файл.

заблокировать доступ к cmd.exe для пользователя

Вот и все. Теперь вы отключили доступ к командной строке (cmd.exe) для этого конкретного пользователя.

Ссылка на основную публикацию