En ocasiones, es posible que desee evitar que un usuario en particular abra la ventana del símbolo del sistema (cmd.exe) por varias razones válidas. Este artículo explica cómo evitar que usuarios específicos abran el Símbolo del sistema o ejecuten archivos de Windows Batch.
Cómo bloquear el acceso al símbolo del sistema para usuarios específicos
El bloqueo del símbolo del sistema se puede hacer usando los permisos NTFS, agregando una entrada de Denegar permiso (a cmd.exe) para un usuario o grupo específico. Esto se puede hacer utilizando la herramienta de consola ICacls.exe
o el cuadro de diálogo de configuración de Seguridad avanzada.
Método 1: uso de la utilidad de línea de comandos ICacls.exe
Desde una ventana de símbolo del sistema elevada o de administrador, y ejecute estos comandos:
takeown / f cmd.exe icacls cmd.exe / deny ramesh: RX
.. donde "ramesh" es el nombre de usuario que desea evitar que acceda a cmd.exe. Para obtener más información sobre los comandos takeown.exe e icacls.exe, consulte el artículo Tomar posesión de un archivo o carpeta mediante la línea de comandos en Windows .
Método 2: uso del cuadro de diálogo de permisos avanzados
Abra la carpeta C:\Windows\System32
.
Haga clic con el botón derecho en cmd.exe y haga clic en Propiedades. Alternativamente, haga clic en el botón Propiedades en la cinta.
Seleccione la pestaña Seguridad en el cuadro de diálogo de propiedades del archivo y haga clic en el botón Avanzado. Esto abre el cuadro de diálogo Configuración de seguridad avanzada.
De manera predeterminada, TrustedInstaller
posee cmd.exe. Haga clic en "Cambiar" para cambiar la propiedad del archivo.
Escriba "Administradores" y presione ENTRAR.
Verás el siguiente mensaje. Simplemente cierre el cuadro de diálogo Permisos avanzados y vuelva a abrirlo.
Si acaba de tomar posesión de este objeto, deberá cerrar y volver a abrir las propiedades de este objeto antes de poder ver o cambiar los permisos.
El grupo administrador ahora es el propietario del archivo. Ahora puede agregar entradas de Permiso según sea necesario.
Haga clic en Cambiar permisos, que ahora cambiará a Agregar .
Haga clic en Agregar
Haga clic en Seleccionar un director
Escriba el nombre de usuario (p. Ej., Ramesh ) y haga clic en Aceptar.
En el cuadro de diálogo Tipo, seleccione Denegar.
Active las casillas de verificación para Leer, Leer y ejecutar, y haga clic en Aceptar.
Así es como se vería ahora el cuadro de diálogo Configuración de seguridad avanzada:
En el cuadro de diálogo Configuración de seguridad avanzada, haga clic en Aceptar. Verás los siguientes mensajes. Haga clic en Sí para continuar.
Está configurando una entrada de denegación de permisos. Las entradas denegadas tienen prioridad sobre las entradas permitidas. Esto significa que si un usuario es miembro de dos grupos, uno al que se le permite un permiso y otro al que se le niega el mismo permiso, al usuario se le niega ese permiso.
¿Quieres continuar?
Está a punto de cambiar la configuración de permisos en las carpetas del sistema. Esto puede reducir la seguridad de su computadora y hacer que los usuarios tengan problemas para acceder a los archivos. ¿Quieres continuar?
Para probar si el bloque funciona, use Ejecutar como (o runas.exe) para iniciar cmd.exe como ese usuario en particular.
runas / usuario: ramesh c: \ windows \ system32 \ cmd.exe
Eso arrojaría el siguiente error:
No se puede ejecutar - cmd.exe => 5: acceso denegadoO simplemente inicie sesión en esa cuenta de usuario e intente iniciar cmd.exe. El usuario "ramesh" no podrá leer ni ejecutar el archivo.
Eso es todo. Ahora ha deshabilitado el acceso al símbolo del sistema (cmd.exe) para ese usuario en particular.