about_Group_Policy_Settings
Descripción breve
Describe la configuración de directiva de grupo para PowerShell.
Descripción larga
PowerShell incluye la configuración de directiva de grupo para ayudarle a definir valores de configuración coherentes para equipos Windows en un entorno empresarial.
La configuración de directiva de grupo de PowerShell se encuentra en las siguientes rutas de acceso de directiva de grupo:
Computer Configuration\
Administrative Templates\
PowerShell Core
User Configuration\
Administrative Templates\
PowerShell Core
La configuración de directiva de grupo en la ruta de configuración del equipo tiene prioridad sobre la configuración de directiva de grupo en la ruta de acceso configuración de usuario.
PowerShell 7 incluye plantillas de directiva de grupo y un script de instalación en $PSHOME
.
Las herramientas de directiva de grupo usan archivos de plantilla administrativa (.admx
, .adml
) para rellenar la configuración de directiva en la interfaz de usuario. Esto permite a los administradores administrar la configuración de directiva basada en el registro. El InstallPSCorePolicyDefinitions.ps1
script instala plantillas administrativas básicas de PowerShell en el equipo local.
Get-ChildItem -Path $PSHOME -Filter *Core*Policy*
Directory: C:\Program Files\PowerShell\7
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a--- 2/27/2020 12:38 AM 15861 InstallPSCorePolicyDefinitions.ps1
-a--- 2/27/2020 12:28 AM 9675 PowerShellCoreExecutionPolicy.adml
-a--- 2/27/2020 12:28 AM 6201 PowerShellCoreExecutionPolicy.admx
Después de instalar las plantillas, puede editar esta configuración en el editor de directivas de grupo (gpedit.msc
).
Las directivas son las siguientes:
- Configuración de sesión de consola: establece un punto de conexión de configuración en el que se ejecuta PowerShell.
- Activar el registro de módulos: establece la propiedad LogPipelineExecutionDetails de los módulos .
- Activar el registro de bloques de script de PowerShell: habilita el registro detallado de todos los scripts de PowerShell.
- Activar ejecución de script: establece la directiva de ejecución de PowerShell.
- Activar transcripción de PowerShell: permite capturar la entrada y salida de los comandos de PowerShell en transcripciones basadas en texto.
- Establezca la ruta de acceso de origen predeterminada para
Update-Help
: establece el origen de la Ayuda actualizable en un directorio, no en Internet.
Cada configuración de directiva de grupo de PowerShell tiene el campo "Usar la configuración de directiva de Windows PowerShell". Esta opción habilita el uso del valor de una configuración de directiva de grupo de Windows PowerShell similar que se encuentra en las siguientes rutas de acceso de directiva de grupo:
Computer Configuration\
Administrative Templates\
Windows Components\
Windows PowerShell
User Configuration\
Administrative Templates\
Windows Components\
Windows PowerShell
Nota:
Estas plantillas administrativas básicas de PowerShell no incluyen la configuración de Windows PowerShell. Para obtener más información sobre cómo adquirir otras plantillas y configurar la directiva de grupo, vea Cómo crear y administrar el Almacén central para plantillas administrativas de directiva de grupo en Windows.
Configuración de la sesión de consola
La configuración de la directiva de configuración de sesión de consola especifica un punto de conexión de configuración en el que se ejecuta PowerShell. Puede ser cualquier punto de conexión registrado en la máquina local, incluidos los puntos de conexión remoto de PowerShell predeterminados o un punto de conexión personalizado que tenga funcionalidades específicas de rol de usuario.
Activación del registro de módulos
La configuración de directiva Activar registro de módulos activa el registro de los módulos de PowerShell seleccionados. La configuración es efectiva en todas las sesiones de todos los equipos afectados.
Si habilita esta configuración de directiva y especifica uno o varios módulos, PowerShell registra eventos de ejecución de canalización para los módulos especificados en el registro de Windows PowerShell en Visor de eventos.
Si deshabilita esta configuración de directiva, PowerShell no registra eventos de ejecución para ningún módulo de PowerShell.
Si esta configuración de directiva no está configurada, la propiedad LogPipelineExecutionDetails de cada módulo determina si PowerShell registra los eventos de ejecución de ese módulo. De forma predeterminada, la propiedad LogPipelineExecutionDetails de todos los módulos se establece en $False
.
Para activar el registro de módulos para un módulo, use el siguiente formato de comando. El módulo debe importarse en la sesión y la configuración solo es efectiva en la sesión actual.
Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true
Para activar el registro de módulos para todas las sesiones de un equipo determinado, agregue los comandos anteriores al perfil de PowerShell "Todos los usuarios" ($Profile.AllUsersAllHosts
).
Para obtener más información sobre el registro de módulos, consulte about_Modules.
Activación del registro de bloques de script de PowerShell
La configuración de directiva Activar el registro de bloques de script de PowerShell habilita el registro de todas las entradas de script de PowerShell en el registro de eventos Microsoft-Windows-PowerShell/Operational. Si habilita esta configuración de directiva, PowerShell registra el procesamiento de comandos, bloques de scripts, funciones y scripts, tanto si se invocan de forma interactiva como a través de la automatización.
Si deshabilita esta configuración de directiva, la entrada del script de PowerShell no se registra. Si habilita el registro de invocación de bloque de scripts, PowerShell también registra eventos cuando se inicia o detiene la invocación de un comando, un bloque de script, una función o un script. Al habilitar el registro de invocación, se genera un gran volumen de registros de eventos.
Activación de la ejecución del script
La configuración activar la directiva de ejecución de scripts establece la directiva de ejecución para equipos y usuarios. La directiva de ejecución determina si se van a ejecutar scripts.
Si habilita la configuración de directiva, puede seleccionar entre las siguientes opciones de configuración de directiva.
Permitir solo los scripts firmados permite que los scripts se ejecuten solo si están firmados por un publicador de confianza. Esta configuración de directiva es equivalente a la
AllSigned
directiva de ejecución.Permitir scripts locales y scripts firmados remotos permite que se ejecuten todos los scripts locales. Los scripts que se originan en Internet deben estar firmados por un editor de confianza. Esta configuración de directiva es equivalente a la
RemoteSigned
directiva de ejecución.Permitir todos los scripts permite que se ejecuten todos los scripts. Esta configuración de directiva es equivalente a la
Unrestricted
directiva de ejecución.
Si deshabilita esta configuración de directiva, no se permite ejecutar ningún script. Esta configuración de directiva es equivalente a la Restricted
directiva de ejecución.
Si no establece esta configuración de directiva, la directiva de ejecución establecida para el equipo o el usuario por el Set-ExecutionPolicy
cmdlet determina si se permiten ejecutar scripts. El valor predeterminado es Restricted
.
Para obtener más información, vea about_Execution_Policies.
Activación de la transcripción de PowerShell
La configuración de directiva Activar transcripción de PowerShell permite capturar la entrada y salida de los comandos de PowerShell en transcripciones basadas en texto. Si habilita esta configuración de directiva, PowerShell habilita el registro de transcripción para PowerShell y cualquier otra aplicación que aproveche el motor de PowerShell. De forma predeterminada, PowerShell registra la salida de transcripción en el directorio de My Documents
cada usuario, con un nombre de archivo que incluye PowerShell_transcript
, junto con el nombre de equipo y la hora iniciadas. La habilitación de esta directiva tiene el mismo efecto que llamar al Start-Transcript
cmdlet en cada sesión de PowerShell.
Si deshabilita esta configuración de directiva, las aplicaciones basadas en PowerShell no escriben registros de transcripción de forma predeterminada. El Start-Transcript
cmdlet todavía puede habilitar el registro de transcripción.
Limite el acceso al directorio al establecer OutputDirectory en una ubicación compartida para el registro de transcripciones para impedir que los usuarios vean las transcripciones de otros usuarios o equipos.
Establecer la ruta de acceso de origen predeterminada para Update-Help
Establecer la ruta de acceso de origen predeterminada para la configuración de directiva Update-Help establece un valor predeterminado para el parámetro SourcePath del Update-Help
cmdlet.
Esta configuración impide que los usuarios usen el Update-Help
cmdlet para descargar archivos de ayuda de Internet.
Nota:
Esta configuración de directiva de grupo aparece en Configuración del equipo y Configuración de usuario. Sin embargo, solo la configuración de directiva de grupo en Configuración del equipo es efectiva. La configuración de directiva de grupo en Configuración de usuario se omite.
El Update-Help
cmdlet descarga e instala los archivos de ayuda más recientes para los módulos de PowerShell e los instala en el equipo. De forma predeterminada, Update-Help
descarga nuevos archivos de ayuda desde una ubicación de Internet especificada por el módulo.
Sin embargo, puede usar el Save-Help
cmdlet para descargar los archivos de ayuda más recientes en una ubicación del sistema de archivos, como un recurso compartido de red y, a continuación, usar el Update-Help
cmdlet para obtener los archivos de ayuda de la ubicación del sistema de archivos e instalarlos en el equipo. El parámetro SourcePath del Update-Help
cmdlet especifica la ubicación del sistema de archivos.
Al proporcionar un valor predeterminado para el parámetro SourcePath , esta configuración de directiva de grupo agrega implícitamente el parámetro SourcePath a todos los Update-Help
comandos. Los usuarios pueden invalidar la ubicación determinada del sistema de archivos especificada como valor predeterminado si escriben otra ubicación del sistema de archivos.
Pero no pueden quitar el parámetro SourcePath del Update-Help
comando .
Si habilita esta configuración de directiva, puede especificar un valor predeterminado para el parámetro SourcePath . Escriba una ubicación del sistema de archivos.
Si esta configuración de directiva está deshabilitada o no está configurada, no hay ningún valor predeterminado para el parámetro SourcePath del Update-Help
cmdlet. Los usuarios pueden descargar ayuda desde Internet o desde cualquier ubicación del sistema de archivos.
Para obtener más información, consulte about_Updatable_Help.
Palabras clave
about_Group_Policies about_GroupPolicy