Nogle gange vil du måske forhindre en bestemt bruger i at åbne vinduet Kommandoprompt (cmd.exe) af en række gyldige grunde. Denne artikel forklarer, hvordan man forhindrer specifikke brugere i at åbne Kommandoprompten eller køre Windows Batch-filer.
Sådan blokeres kommandoprompad adgang for specifikke brugere
Låsning af kommandoprompten kan udføres ved hjælp af NTFS-tilladelser ved at tilføje en post til at afvise tilladelse (til cmd.exe) for en bestemt bruger eller gruppe. Dette kan gøres ved hjælp af det indbyggede ICacls.exe
eller dialogboksen Avancerede sikkerhedsindstillinger.
Metode 1: Brug af ICacls.exe kommandolinjeprogram
Fra et forhøjet eller Administrator Command Prompt-vindue, og kør disse kommandoer:
takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX
.. hvor "ramesh" er det brugernavn, som du vil forhindre i at få adgang til cmd.exe. For mere information om kommandoer takeown.exe og icacls.exe, se artiklen Tag ejerskab af en fil eller mappe vha. Kommandolinje i Windows .
Metode 2: Brug af dialogboksen Avancerede tilladelser
Åbn mappen C:\Windows\System32
.
Højreklik på cmd.exe, og klik på Egenskaber. Klik alternativt på knappen Egenskaber i båndet.
Vælg fanen Sikkerhed i dialogboksen med filegenskaber, og klik på knappen Avanceret. Dette åbner dialogboksen Avancerede sikkerhedsindstillinger.
Som standard ejer TrustedInstaller
cmd.exe. Klik på "Skift" for at ændre ejerskabet til filen.
Skriv "Administratorer", og tryk på ENTER.
Følgende meddelelse vises. Luk blot dialogboksen Avancerede tilladelser og åbn den igen.
Hvis du netop har taget ejerskab af dette objekt, bliver du nødt til at lukke og genåbne dette objekts egenskaber, før du kan se eller ændre tilladelser.
Administratorgruppe er nu ejeren af filen. Du kan nu tilføje tilladelsesposter efter behov.
Klik på Skift tilladelser, som nu ændres til Tilføj .
Klik på Tilføj
Klik på Vælg en hovedstol
Skriv brugernavnet (f.eks. Ramesh ), og klik på OK.
Vælg Afvis i dialogboksen Type
Aktivér afkrydsningsfelterne for Læs, Læs og udfør, og klik på OK.
Sådan ser dialogboksen Avancerede sikkerhedsindstillinger nu ud:
Klik på OK i dialogboksen Avancerede sikkerhedsindstillinger. Du får vist følgende meddelelser. Klik på Ja for at fortsætte.
Du indstiller en post til at afvise tilladelser. Afvis poster har forrang for tilladte poster. Dette betyder, at hvis en bruger er medlem af to grupper, en, der har tilladelse, og en anden, der nægtes den samme tilladelse, nægtes brugeren denne tilladelse.
Vil du fortsætte?
Du er ved at ændre tilladelsesindstillingerne i systemmapper. Dette kan reducere din computers sikkerhed og få brugerne til at få problemer med at få adgang til filer. Vil du fortsætte?
For at teste, om blokken fungerer, skal du bruge Kør som (eller runas.exe) til at starte cmd.exe som den pågældende bruger.
runas / user: ramesh c: \ windows \ system32 \ cmd.exe
Det ville kaste følgende fejl:
Kan ikke køre - cmd.exe => 5: Adgang nægtesEller bare log ind på den brugerkonto og prøv at starte cmd.exe. Brugeren "ramesh" vil ikke være i stand til at læse eller udføre filen.
Det er alt. Du har nu deaktiveret adgang til Kommandoprompt (cmd.exe) for den pågældende bruger.