Noen ganger kan det være lurt å forhindre en bestemt bruker i å åpne Kommandoprompt-vinduet (cmd.exe) av en rekke gyldige grunner. Denne artikkelen forklarer hvordan du kan forhindre at bestemte brukere åpner Kommandoprompten eller kjører Windows Batch-filer.
Slik blokkerer du ledeteksttilgang for spesifikke brukere
Låsing av ledeteksten kan gjøres ved å bruke NTFS-tillatelser, ved å legge til en avvisingstillatelse- oppføring (til cmd.exe) for en bestemt bruker eller gruppe. Dette kan gjøres ved hjelp av det innebygde konsollverktøyet ICacls.exe
eller dialogboksen Avanserte sikkerhetsinnstillinger.
Metode 1: Bruke kommandolinjeverktøyet ICacls.exe
Fra et forhøyet eller Administrator Command Prompt-vindu, og kjør disse kommandoene:
takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX
.. der "ramesh" er brukernavnet du vil forhindre tilgang til cmd.exe. For mer informasjon om kommandoer takeown.exe og icacls.exe, sjekk ut artikkelen Ta eierskap til en fil eller mappe ved hjelp av kommandolinjen i Windows .
Metode 2: Bruke dialogboksen Avanserte tillatelser
Åpne mappen C:\Windows\System32
.
Høyreklikk cmd.exe og klikk Egenskaper. Klikk alternativt på Egenskaper- knappen i båndet.
Velg kategorien Sikkerhet i dialogboksen for filegenskaper, og klikk på Avansert-knappen. Dette åpner dialogboksen Avanserte sikkerhetsinnstillinger.
Som standard eier TrustedInstaller
cmd.exe. Klikk "Endre" for å endre eierskapet til filen.
Skriv inn "Administratorer" og trykk ENTER.
Følgende melding vises. Bare lukk dialogboksen Avanserte tillatelser og åpne den på nytt.
Hvis du nettopp har tatt eierskap til dette objektet, må du lukke og åpne gjenstandens egenskaper før du kan se eller endre tillatelser.
Administratorgruppe er nå eier av filen. Du kan nå legge til tillatelsesoppføringer etter behov.
Klikk på Endre tillatelser, som nå endres til Legg til .
Klikk Legg til
Klikk på Velg rektor
Skriv inn brukernavnet (f.eks. Ramesh ) og klikk OK.
Velg Avvis fra dialogboksen Type
Aktiver avmerkingsboksene for Les, Les og kjør, og klikk OK.
Slik ser dialogboksen Avanserte sikkerhetsinnstillinger ut nå:
I OK-dialogboksen Avanserte sikkerhetsinnstillinger klikker du OK. Følgende meldinger vises. Klikk Ja for å fortsette.
Du angir oppføringen for å nekte tillatelser. Nekter oppføringer har forrang fremfor tillatte oppføringer. Dette betyr at hvis en bruker er medlem av to grupper, en som har tillatelse og en annen som nektes den samme tillatelsen, blir brukeren nektet denne tillatelsen.
Vil du fortsette?
Du er i ferd med å endre tillatelsesinnstillingene i systemmapper. Dette kan redusere datamaskinens sikkerhet og føre til at brukere har problemer med å få tilgang til filer. Vil du fortsette?
For å teste om blokken fungerer, bruk Run As (eller runas.exe) for å starte cmd.exe som den aktuelle brukeren.
runas / bruker: ramesh c: \ windows \ system32 \ cmd.exe
Det vil kaste følgende feil:
Kan ikke kjøre - cmd.exe => 5: Tilgang nektesEller bare logg inn på den brukerkontoen og prøv å starte cmd.exe. Brukeren "ramesh" vil ikke kunne lese eller utføre filen.
Det er alt. Du har nå deaktivert tilgangen til Command Prompt (cmd.exe) for den aktuelle brukeren.