Windows Benutzer sollten immer nur mit den nötigsten Berechtigungen ausgestattet sein. Aus diesem Grund sollte der Admin auch die Benutzung der Eingabeaufforderung verhindern. In diesem Artikel zeige ich Dir daher, wie Du den Zugriff auf cmd sperren kannst.



Zugriff auf CMD sperren per Gruppenrichtlinie

Die Eingabeaufforderung (cmd.exe) ist auch heute noch ein unverzichtbares Tool für die Administration von Microsoft Windows. Mit ihr lassen sich viele Eingriffe ins System schnell erledigen und auch nützliche Informationen ermitteln (z.B. die Seriennummer auslesen). Oft wird aber vergessen, dass auch normale Windowsbenutzer die Eingabeaufforderung öffnen können.

Um es dem „pfiffigen“ Herrn Spielratz aus der Buchhaltung so schwer wie möglich zu machen, sollte man den Zugriff auf die Eingabeaufforderung gänzlich deaktivieren. Am einfachsten funktioniert das per Gruppenrichtlinie (lokal oder Domäne).

Öffne also entweder den lokalen Gruppenrichtlinieneditor (gpedit.msc) oder die Gruppenrichtlinienverwaltung des Active Directory. Die gewünschte Richtlinie findest Du unter:

Benutzerkonfiguration -> Administrative Vorlagen -> System

>> Zugriff auf Eingabeaufforderung verhindern

Zugriff auf Eingabeaufforderung verhindern

Zugriff auf CMD sperren – ganz einfach per Gruppenrichtlinie

Öffne diese Richtlinie und aktiviere sie. Optional kannst Du zusätzlich noch die Ausführung von Skripten deaktivieren. Damit sind alle ausführbaren Skriptdateien mit den Endungen .bat und .cmd gemeint. Diese Option sollte nur aktiviert werden, wenn zu administrativen Zwecken keine derartigen Skripte eingesetzt werden. Ein typisches Beispiel wären Loginskripte.

Eingabeaufforderung deaktivieren

Zugriff auf die Eingabeaufforderung verhindern.

Wurde die Richtlinie aktiviert und gespeichert („Ok“), braucht nur noch die Richtlinie im entsprechenden Benutzerkontext neu angewendet werden („gpupdate /force“ oder Benutzer neu anmelden) und schon wird der Zugriff auf die Eingabeaufforderung verhindert. Der Benutzer erhält ab sofort nur noch die Meldung „Die Eingabeaufforderung ist vom Administrator deaktiviert worden„.

Zugriff auf CMD sperren

„Die Eingabeaufforderung ist vom Administrator deaktiviert worden“

Zwar könnte ein Benutzer ohne Administratorrechte nicht sehr viel kaputt machen, dennoch finde ich es immer beruhigend, wenn Anwendern der Zugriff auf die Eingabeaufforderung versperrt ist. Und es zaubert dem „gemeinen Admin“ ein Lächeln ins Gesicht, wenn der Herr Spielratz aus der Buchhaltung sich wieder über die vollkommen überzogenen Beschränkungen der Berechtigungen beschwert.

Ebenfalls interessant:

Wenn Dir diese Information weitergeholfen hat, kannst Du mir das gerne in die Kommentare schreiben. Ebenfalls freue ich mich über jede kleine Spende, die Du diesem Blog ganz unkompliziert über PayPalMe zukommen lassen kannst.
Wer lieber einen Obolus in Bitcoins dalassen mag, dann bitte an 17zAdJSDYkukxeWFfSu5qjnmMtKamWzRuD.
Vielen Dank.

René Albarus

Ich heiße René Albarus und bin seit 2002 beruflich im Bereich der Systemadministration tätig. Da auch ich einen Teil meines Wissens IT-Blogs im Internet verdanke, ist es für mich selbstverständlich, dass ich Lösungsansätze und Anleitungen in diesem Blog weitergebe.
René Albarus

Letzte Artikel von René Albarus (Alle anzeigen)

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.