Содержание
Иногда вы можете запретить определенному пользователю открывать окно командной строки (cmd.exe) по ряду веских причин. В этой статье объясняется, как запретить отдельным пользователям открывать командную строку или запускать пакетные файлы Windows.
Как заблокировать доступ к командной строке для определенных пользователей
Блокировку командной строки можно выполнить с помощью разрешений NTFS, добавив отказываться от Запись разрешения (для cmd.exe) для определенного пользователя или группы. Это можно сделать с помощью встроенного консольного инструмента. ICacls.exe
или диалог настроек расширенной безопасности.
Способ 1. Использование утилиты командной строки ICacls.exe
В окне командной строки администратора или администратора введите следующие команды:
takeown /f cmd.exe icacls cmd.exe /deny ramesh:RX
.. где «ramesh» — это имя пользователя, которому вы хотите запретить доступ к cmd.exe. Дополнительную информацию о командах takeown.exe и icacls.exe можно найти в статье «Управление владельцем файла или папки с помощью командной строки в Windows».
Способ 2. Использование диалогового окна «Дополнительные разрешения»
Открыть C:\Windows\System32
папки.
Щелкните правой кнопкой мыши cmd.exe и выберите Свойства. Поочередно нажмите свойства кнопка на ленте.
Выберите вкладку «Безопасность» в диалоговом окне свойств файла и нажмите кнопку «Дополнительно». Откроется диалоговое окно «Дополнительные параметры безопасности».
По умолчанию TrustedInstaller
владеет cmd.exe. Нажмите «Изменить», чтобы изменить владельца файла.
Введите «Администраторы» и нажмите клавишу ВВОД.
Вы увидите следующее сообщение. Просто закройте диалоговое окно «Дополнительные разрешения» и снова откройте его.
Если вы только что вступили во владение этим объектом, вам нужно будет закрыть и снова открыть свойства этого объекта, прежде чем вы сможете просматривать или изменять разрешения.
Администратор группы теперь является владельцем файла. Теперь вы можете добавлять записи разрешений по мере необходимости.
щелчок Изменить разрешения, который теперь изменится на Добавлять.
щелчок Добавлять
щелчок Выберите принципала
Введите имя пользователя (например, Рамеш) и нажмите ОК.
От Тип выберите отказываться от
Включить флажки для Читать, Читать казнить, и нажмите ОК.
Вот так теперь будет выглядеть диалоговое окно «Дополнительные параметры безопасности»:
В диалоговом окне «Дополнительные параметры безопасности» нажмите «ОК». Вы увидите следующие сообщения. Нажмите Да, чтобы продолжить.
Вы устанавливаете запись о запрете доступа. Запрещенные записи имеют приоритет над разрешенными записями. Это означает, что если пользователь является членом двух групп, одной из которых разрешено разрешение, а другой — то же разрешение, то пользователю будет отказано в этом разрешении.
Вы хотите продолжить?
Вы собираетесь изменить настройки разрешений для системных папок. Это может снизить безопасность вашего компьютера и вызвать проблемы с доступом к файлам. Вы хотите продолжить?
Чтобы проверить, работает ли блок, используйте Run As (или runas.exe), чтобы запустить cmd.exe от имени этого конкретного пользователя.
runas /user:ramesh c:\windows\system32\cmd.exe
Это приведет к следующей ошибке:
Невозможно запустить — cmd.exe => 5: доступ запрещен
Или просто войдите в эту учетную запись пользователя и попробуйте запустить cmd.exe. Пользователь «ramesh» не сможет прочитать или выполнить файл.
Вот и все. Теперь вы отключили доступ к командной строке (cmd.exe) для этого конкретного пользователя.