Đôi khi bạn có thể muốn ngăn một người dùng cụ thể mở cửa sổ Command Prompt (cmd.exe) vì một số lý do hợp lệ. Bài viết này giải thích cách ngăn người dùng cụ thể mở Command Prompt hoặc chạy các tệp hàng loạt của Windows.

Ngăn chặn quyền truy cập dấu nhắc lệnh cho người dùng cụ thể

Khóa Command Prompt có thể được thực hiện bằng cách sử dụng Quyền NTFS, bằng cách thêm Deny Mục nhập quyền (đến cmd.exe) cho người dùng hoặc nhóm cụ thể. Điều này có thể được thực hiện bằng cách sử dụng công cụ bảng điều khiển tích hợp icacls.exe hoặc hộp thoại Cài đặt bảo mật nâng cao.

Phương pháp 1: Sử dụng Tiện ích dòng lệnh ICacls.exe

Từ cửa sổ Dấu nhắc lệnh trên cao hoặc Quản trị viên, và chạy các lệnh sau:

takeown /f cmd.exe
icacls cmd.exe /deny ramesh:RX

.. trong đó “ramesh” là tên người dùng mà bạn muốn ngăn truy cập cmd.exe. Để biết thêm thông tin về lệnh takeown.exe và icacls.exe, hãy xem bài viết Lấy quyền sở hữu tệp hoặc thư mục bằng dòng lệnh trong Windows.


Phương pháp 2: Sử dụng Hộp thoại Quyền Nâng cao

  1. Mở C:WindowsSystem32.
  2. Nhấp chuột phải vào cmd.exe và nhấp vào Thuộc tính. Hoặc, nhấp vào Properties trong dải băng.
    chặn quyền truy cập cmd.exe cho người dùng
  3. Chọn tab Bảo mật trong hộp thoại thuộc tính tệp và nhấp vào nút Nâng cao. Thao tác này sẽ mở hộp thoại Cài đặt bảo mật nâng cao.
    chặn quyền truy cập cmd.exe cho người dùng
  4. Theo mặc định TrustedInstaller sở hữu cmd.exe. Nhấp vào “Thay đổi” để thay đổi quyền sở hữu tệp.
    chặn quyền truy cập cmd.exe cho người dùng
  5. Gõ “Quản trị viên” và nhấn ENTER.
    chặn quyền truy cập cmd.exe cho người dùng
  6. Bạn sẽ thấy thông báo sau. Chỉ cần đóng hộp thoại Quyền nâng cao và mở lại.

    If you have just taken ownership of this object, you will need to close and reopen this object’s properties before you can view or change permissions.

  7. Nhóm quản trị viên hiện là chủ sở hữu của tệp. Bây giờ bạn có thể thêm các mục Quyền theo yêu cầu. Nhấp chuột Change Permissions, bây giờ sẽ thay đổi thành Add.
    chặn quyền truy cập cmd.exe cho người dùng
  8. Nhấp chuột Add
    chặn quyền truy cập cmd.exe cho người dùng
  9. Nhấp chuột Select a principal
  10. Nhập tên người dùng (ví dụ: ramesh) và nhấp vào OK.
    chặn quyền truy cập cmd.exe cho người dùng
  11. Từ Type, lựa chọn Deny
    chặn quyền truy cập cmd.exe cho người dùng
  12. Bật các hộp kiểm cho Read, Read & Executevà nhấp vào OK.

    Đây là cách hộp thoại Cài đặt bảo mật nâng cao bây giờ sẽ trông như thế nào:
    chặn quyền truy cập cmd.exe cho người dùng

  13. Trong hộp thoại Cài đặt Bảo mật Nâng cao, bấm OK. Bạn sẽ thấy các thông báo sau. Nhấp chuột Yes tiến hành với.
    You are setting a deny permissions entry. Deny entries take precedence over allow entries. This means that if a user is a member of two groups, one that is allowed a permission and another that is denied the same permission, the user is denied that permission.
    
    Do you want to continue?
    
    You are about to change the permission settings on system folders. This can reduce the security of your computer and cause users to have problems accessing files. Do you want to continue?

Kiểm tra nếu nó hoạt động

Để kiểm tra xem khối có hoạt động hay không, hãy sử dụng Run As (hoặc runas.exe) để khởi chạy cmd.exe với tư cách người dùng cụ thể đó.

runas /user:ramesh c:windowssystem32cmd.exe

Điều đó sẽ gây ra lỗi sau:

Unable to run - cmd.exe → 5: Access is denied

Hoặc chỉ cần đăng nhập vào tài khoản người dùng đó và thử khởi chạy cmd.exe. Người dùng “ramesh” sẽ không thể đọc hoặc thực thi tệp.

chặn quyền truy cập cmd.exe cho người dùng

Đó là tất cả. Bây giờ bạn đã vô hiệu hóa quyền truy cập vào Command Prompt (cmd.exe) cho người dùng cụ thể đó.