Windows Benutzer sollten immer nur mit den nötigsten Berechtigungen ausgestattet sein. Aus diesem Grund sollte der Admin auch die Benutzung der Eingabeaufforderung verhindern. In diesem Artikel zeige ich Dir daher, wie Du den Zugriff auf cmd sperren kannst.
Zugriff auf CMD sperren per Gruppenrichtlinie
Die Eingabeaufforderung (cmd.exe) ist auch heute noch ein unverzichtbares Tool für die Administration von Microsoft Windows. Mit ihr lassen sich viele Eingriffe ins System schnell erledigen und auch nützliche Informationen ermitteln (z.B. die Seriennummer auslesen). Oft wird aber vergessen, dass auch normale Windows Benutzer die Eingabeaufforderung öffnen können.
Um es dem „pfiffigen“ Herrn Spielratz aus der Buchhaltung so schwer wie möglich zu machen, sollte man den Zugriff auf die Eingabeaufforderung gänzlich deaktivieren. Am einfachsten funktioniert das per Gruppenrichtlinie (lokal oder Domäne).
Öffne also entweder den lokalen Gruppenrichtlinieneditor (gpedit.msc) oder die Gruppenrichtlinienverwaltung des Active Directory. Die gewünschte Richtlinie findest Du unter:
Benutzerkonfiguration -> Administrative Vorlagen -> System >> Zugriff auf Eingabeaufforderung verhindern
Öffne diese Richtlinie und aktiviere sie. Optional kannst Du zusätzlich noch die Ausführung von Skripten deaktivieren. Damit sind alle ausführbaren Skriptdateien mit den Endungen .bat und .cmd gemeint. Diese Option sollte nur aktiviert werden, wenn zu administrativen Zwecken keine derartigen Skripte eingesetzt werden. Ein typisches Beispiel wären Loginskripte.
Wurde die Richtlinie aktiviert und gespeichert („Ok“), braucht nur noch die Richtlinie im entsprechenden Benutzerkontext neu angewendet werden („gpupdate /force“ oder Benutzer neu anmelden) und schon wird der Zugriff auf die Eingabeaufforderung verhindert. Der Benutzer erhält ab sofort nur noch die Meldung „Die Eingabeaufforderung ist vom Administrator deaktiviert worden„.
Zwar könnte ein Benutzer ohne Administratorrechte nicht sehr viel kaputt machen, dennoch finde ich es immer beruhigend, wenn Anwendern der Zugriff auf die Eingabeaufforderung versperrt ist. Und es zaubert dem „gemeinen Admin“ ein Lächeln ins Gesicht, wenn der Herr Spielratz aus der Buchhaltung sich wieder über die vollkommen überzogenen Beschränkungen der Berechtigungen beschwert.
Ebenfalls interessant:
- Zugriff auf Programme verhindern
- Netzlaufwerk verbinden per Gruppenrichtlinie
- Drucker per Gruppenrichtlinien installieren
- Wichtige CMD Befehle (Auflistung)
- PowerShell Skript ausführen
Für Administratoren eine gute GPO, um Anwender die CMD zu sperren. Macht durchaus Sinn….
> Und es zaubert dem „gemeinen Admin“ ein Lächeln ins Gesicht, wenn der Herr Spielratz aus der Buchhaltung sich wieder über die vollkommen überzogenen Beschränkungen der Berechtigungen beschwert.
Wenn dies Dein Ziel ist, dann hast Du wahrscheinlich Deinen Beruf verfehlt.
Denn die Idee ist nicht, Leute gegen sich aufzubringen, sondern den Bedarf an der CMD erst gar nicht aufkommen zu lassen. Und dies durch die Klärung des Bedarfes, und nicht durch Verbote und Gängelung.
Es gibt sicherlich Gründe, wieso ein Mitarbeiter nach Mitteln und Wegen sucht, um etwas einzustellen, und (mal kriminelle Energie ausgeschlossen) wäre eine Frage, wieso das hier der Fall ist, eher Zielführend, als drangsalierende Maßnahmen hier gutzuheißen. ( Wie Du selber schon sagtest: „Benutzer ohne Administratorrechte (können) nicht sehr viel kaputt machen“ )
Schade dass Du Deine eigenen Kunden (und quasi auch Geld-Geber) als Feinde, und Deine Aufgabe als „Freue am Quälen“ betrachtest.
Ich würde Mitarbeiter mit dem hier präsentierten Mind-Set versuchen zu schulen, oder wenn keine Änderung möglich ist, aus dem Unternehmen entfernen. Es dreht sich nicht um „gegeneinander“ sondern um ein „miteinander“.
Sehr schade!
Viele Grüße
Jörg
Hallo Jörg,
ich gebe Dir vollkommen Recht damit, dass es immer um ein „Miteinander“ gehen sollte. Die Art und Weise, wie der Text geschrieben ist, sollte den Leser erheitern und vielleicht ein wenig zum Schmunzeln bringen. Kurz: Es ist nicht wirklich ernst gemeint. Gängelung und Maßregelung von Mitarbeitern liegt mir jedenfalls fern und würde rein gar nichts bewirken (mal davon abgesehen, dass man Mittags wirklich alleine am Tische sitzen würde).
Viele Grüße zurück, René