Parfois, vous souhaiterez peut-être empêcher un utilisateur particulier d'ouvrir la fenêtre d'invite de commandes (cmd.exe) pour un certain nombre de raisons valides. Cet article explique comment empêcher des utilisateurs spécifiques d'ouvrir l'invite de commandes ou d'exécuter des fichiers batch de Windows.
Comment bloquer l'accès à l'invite de commandes pour des utilisateurs spécifiques
Le verrouillage de l'invite de commandes peut être effectué à l'aide des autorisations NTFS, en ajoutant une entrée Refuser l' autorisation (à cmd.exe) pour un utilisateur ou un groupe spécifique. Cela peut être fait à l'aide de l'outil de console intégré ICacls.exe ou de la boîte de dialogue Paramètres de sécurité avancés.
Méthode 1: à l'aide de l'utilitaire de ligne de commande ICacls.exe
À partir d'une fenêtre d'invite de commandes élevée ou administrateur, et exécutez ces commandes:
takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX
.. où «ramesh» est le nom d'utilisateur que vous souhaitez empêcher d'accéder à cmd.exe. Pour plus d'informations sur les commandes takeown.exe et icacls.exe, consultez l'article Prendre possession d'un fichier ou d'un dossier à l'aide de la ligne de commande dans Windows .
Méthode 2: à l'aide de la boîte de dialogue Autorisations avancées
Ouvrez le dossier C:\Windows\System32 .
Cliquez avec le bouton droit sur cmd.exe et cliquez sur Propriétés. Vous pouvez également cliquer sur le bouton Propriétés dans le ruban.
Sélectionnez l'onglet Sécurité dans la boîte de dialogue des propriétés du fichier et cliquez sur le bouton Avancé. Cela ouvre la boîte de dialogue Paramètres de sécurité avancés.
Par défaut, TrustedInstaller possède cmd.exe. Cliquez sur «Modifier» pour changer la propriété du fichier.
Tapez "Administrateurs" et appuyez sur ENTRÉE.
Vous verrez le message suivant. Fermez simplement la boîte de dialogue Autorisations avancées et rouvrez-la.
Si vous venez de vous approprier cet objet, vous devrez fermer et rouvrir les propriétés de cet objet avant de pouvoir afficher ou modifier les autorisations.
Le groupe d'administrateurs est désormais le propriétaire du fichier. Vous pouvez maintenant ajouter des entrées d'autorisation si nécessaire.
Cliquez sur Modifier les autorisations, qui deviendra désormais Ajouter .
Cliquez sur Ajouter
Cliquez sur Sélectionner un principal
Tapez le nom d'utilisateur (par exemple, ramesh ) et cliquez sur OK.
Dans la boîte de dialogue Type, sélectionnez Refuser
Cochez les cases Lire, Lire et exécuter, puis cliquez sur OK.
Voici à quoi ressemblerait la boîte de dialogue Paramètres de sécurité avancés:
Dans la boîte de dialogue Paramètres de sécurité avancés, cliquez sur OK. Vous verrez les messages suivants. Cliquez sur Oui pour continuer.
Vous définissez une entrée d'autorisations de refus. Les entrées refusées ont priorité sur les entrées autorisées. Cela signifie que si un utilisateur est membre de deux groupes, l'un qui dispose d'une autorisation et l'autre qui se voit refuser la même autorisation, l'utilisateur se voit refuser cette autorisation.
Voulez-vous continuer?
Vous êtes sur le point de modifier les paramètres d'autorisation sur les dossiers système. Cela peut réduire la sécurité de votre ordinateur et entraîner des problèmes d'accès des utilisateurs aux fichiers. Voulez-vous continuer?
Pour tester si le bloc fonctionne, utilisez Exécuter en tant que (ou runas.exe) pour lancer cmd.exe en tant qu'utilisateur particulier.
runas / utilisateur: ramesh c: \ windows \ system32 \ cmd.exe
Cela jetterait l'erreur suivante:
Impossible d'exécuter - cmd.exe => 5: l'accès est refuséOu connectez-vous simplement à ce compte d'utilisateur et essayez de lancer cmd.exe. L'utilisateur «ramesh» ne pourra pas lire ou exécuter le fichier.
C'est tout. Vous avez maintenant désactivé l'accès à l'invite de commandes (cmd.exe) pour cet utilisateur particulier.
