Come bloccare l'accesso al prompt dei comandi per utenti specifici

A volte potresti voler impedire a un determinato utente di aprire la finestra del prompt dei comandi (cmd.exe) per una serie di motivi validi. Questo articolo spiega come impedire a utenti specifici di aprire il prompt dei comandi o di eseguire file batch di Windows.

Come bloccare l'accesso al prompt dei comandi per utenti specifici

Il blocco del prompt dei comandi può essere eseguito utilizzando le autorizzazioni NTFS, aggiungendo una voce Nega autorizzazione (a cmd.exe) per un utente o un gruppo specifico. Questo può essere fatto usando lo strumento di console ICacls.exe o la finestra di dialogo delle impostazioni di sicurezza avanzata.

Metodo 1: Utilizzo dell'utilità della riga di comando ICacls.exe

Da una finestra del prompt dei comandi elevata o dell'amministratore ed eseguire questi comandi:

 takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX 

.. dove "ramesh" è il nome utente a cui si desidera impedire l'accesso a cmd.exe. Per ulteriori informazioni sui comandi takeown.exe e icacls.exe, consulta l'articolo Assumi la proprietà di un file o di una cartella utilizzando la riga di comando in Windows .


Metodo 2: utilizzo della finestra di dialogo Autorizzazioni avanzate

Apri la cartella C:\Windows\System32 .

Fare clic con il tasto destro del mouse su cmd.exe e selezionare Proprietà. In alternativa, fare clic sul pulsante Proprietà nella barra multifunzione.

Seleziona la scheda Sicurezza nella finestra di dialogo delle proprietà del file e fai clic sul pulsante Avanzate. Questo apre la finestra di dialogo Impostazioni di sicurezza avanzate.

Per impostazione predefinita, TrustedInstaller possiede cmd.exe. Fai clic su "Modifica" per modificare la proprietà del file.

Digitare "Amministratori" e premere INVIO.

Vedrai il seguente messaggio. Basta chiudere la finestra di dialogo Autorizzazioni avanzate e riaprirla.

Se hai appena acquisito la proprietà di questo oggetto, dovrai chiudere e riaprire le proprietà di questo oggetto prima di poter visualizzare o modificare le autorizzazioni.

Il gruppo di amministratori è ora il proprietario del file. Ora puoi aggiungere voci di autorizzazione come richiesto.

Fai clic su Modifica autorizzazioni, che ora diventerà Aggiungi .

Clicca Aggiungi

Fai clic su Seleziona un'entità

Digitare il nome utente (ad esempio, ramesh ) e fare clic su OK.

Dalla finestra di dialogo Tipo, selezionare Nega

Abilita le caselle di controllo per Leggi, Leggi ed Esegui e fai clic su OK.

Ecco come appare la finestra di dialogo Impostazioni di sicurezza avanzate:

Nella finestra di dialogo Impostazioni di sicurezza avanzate, fare clic su OK. Vedrai i seguenti messaggi. Fai clic su Sì per procedere.

$config[ads_text6] not found

Stai impostando una voce di negazione delle autorizzazioni. Nega le voci ha la precedenza su Consenti voci. Ciò significa che se un utente è membro di due gruppi, uno a cui è consentita un'autorizzazione e un altro a cui è negata la stessa autorizzazione, all'utente viene negata tale autorizzazione.

Vuoi continuare?

Stai per modificare le impostazioni delle autorizzazioni nelle cartelle di sistema. Ciò può ridurre la sicurezza del computer e causare problemi agli utenti nell'accesso ai file. Vuoi continuare?

Per verificare se il blocco funziona, utilizzare Esegui come (o runas.exe) per avviare cmd.exe come quel particolare utente.

 runas / user: ramesh c: \ windows \ system32 \ cmd.exe 

Ciò genererebbe il seguente errore:

Impossibile eseguire - cmd.exe => 5: accesso negato

O semplicemente accedi a quell'account utente e prova ad avviare cmd.exe. L'utente "ramesh" non sarà in grado di leggere o eseguire il file.

È tutto. Ora hai disabilitato l'accesso al prompt dei comandi (cmd.exe) per quel particolare utente.

Articoli Correlati