Перейти к содержанию

Как запретить доступ к командной строке для определенных пользователей

Иногда вам может потребоваться запретить конкретному пользователю открывать окно командной строки (cmd.exe) по ряду уважительных причин. В этой статье объясняется, как запретить определенным пользователям открывать командную строку или запускать командные файлы Windows.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-3-0′)};if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-3-0’)};

Запретить доступ к командной строке для определенных пользователей

Блокировать командную строку можно с помощью разрешений NTFS, добавив запись Deny Permission (в cmd.exe) для определенного пользователя или группы. Это можно сделать с помощью встроенного в консоль инструмента. icacls.exe или диалоговое окно «Дополнительные параметры безопасности».

Метод 1. Использование утилиты командной строки ICacls.exe

В окне командной строки с повышенными привилегиями или в окне командной строки администратора и выполните следующие команды:

takeown / f cmd.exe icacls cmd.exe / запретить рамеш: RX

заблокировать доступ cmd.exe для пользователя

.. где «ramesh» — это имя пользователя, которому вы хотите запретить доступ к cmd.exe. Для получения дополнительной информации о командах takeown.exe и icacls.exe ознакомьтесь со статьей Вступление во владение файлом или папкой с помощью командной строки в Windows..if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-4-0’)};

Метод 2: использование диалогового окна расширенных разрешений

  1. Открыть C: \ Windows \ System32 папка.
  2. Щелкните правой кнопкой мыши cmd.exe и выберите Свойства. Либо нажмите кнопку «Свойства» на ленте.
    заблокировать доступ cmd.exe для пользователя
  3. Выберите вкладку «Безопасность» в диалоговом окне свойств файла и нажмите кнопку «Дополнительно». Откроется диалоговое окно «Дополнительные параметры безопасности».
    заблокировать доступ cmd.exe для пользователя
  4. По умолчанию Доверенный установщик владеет cmd.exe. Нажмите «Изменить», чтобы изменить владельца файла.
    заблокировать доступ cmd.exe для пользователя
  5. Введите «Администраторы» и нажмите ENTER.
    заблокировать доступ cmd.exe для пользователя
  6. Вы увидите следующее сообщение. Просто закройте диалоговое окно Advanced Permissions и снова откройте его.

    Если вы только что стали владельцем этого объекта, вам нужно будет закрыть и снова открыть свойства этого объекта, прежде чем вы сможете просматривать или изменять разрешения.

  7. Группа администраторов теперь является владельцем файла. Теперь вы можете добавлять записи разрешений по мере необходимости. Нажмите «Изменить разрешения», теперь он изменится на «Добавить».
    заблокировать доступ cmd.exe для пользователя
  8. Нажмите кнопку «Добавить».
    заблокировать доступ cmd.exe для пользователя
  9. Нажмите Выбрать принципала.
  10. Введите имя пользователя (например, ramesh) и нажмите ОК.
    заблокировать доступ cmd.exe для пользователя
  11. В диалоговом окне «Тип» выберите «Запретить».
    заблокировать доступ cmd.exe для пользователя
  12. Установите флажки для чтения, чтения и выполнения и нажмите кнопку ОК.

    Вот как теперь будет выглядеть диалоговое окно Advanced Security Settings:
    заблокировать доступ cmd.exe для пользователя

  13. В диалоговом окне «Дополнительные параметры безопасности» нажмите «ОК». Вы увидите следующие сообщения. Щелкните Да, чтобы продолжить.
    Вы устанавливаете запись о запрещении разрешений. Запрещенные записи имеют приоритет над разрешенными записями. Это означает, что если пользователь является членом двух групп, одной из которых разрешено разрешение, а другой - отказано в том же разрешении, пользователю будет отказано в этом разрешении.
    Вы хотите продолжить?
    Вы собираетесь изменить настройки разрешений для системных папок. Это может снизить безопасность вашего компьютера и вызвать у пользователей проблемы с доступом к файлам. Вы хотите продолжить?

Проверьте, работает ли это

Чтобы проверить, работает ли блок, используйте Run As (или runas.exe) для запуска cmd.exe от имени этого конкретного пользователя.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-large-leaderboard-2-0′)};if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-4-0’)};

runas / пользователь: ramesh c: \ windows \ system32 \ cmd.exe

Это вызовет следующую ошибку:

Невозможно запустить - cmd.exe → 5: Доступ запрещен

Или просто войдите в эту учетную запись пользователя и попробуйте запустить cmd.exe. Пользователь ramesh не сможет прочитать или выполнить файл.

заблокировать доступ cmd.exe для пользователя

Это все. Вы отключили доступ к командной строке (cmd.exe) для этого конкретного пользователя.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *