about_Group_Policy_Settings

Description courte

Décrit les paramètres de stratégie de groupe pour PowerShell

Description longue

PowerShell inclut des paramètres stratégie de groupe pour vous aider à définir des valeurs de configuration cohérentes pour les ordinateurs Windows dans un environnement d’entreprise.

Les paramètres de stratégie de groupe PowerShell se trouvent dans les chemins d’stratégie de groupe suivants :

Computer Configuration\
  Administrative Templates\
    PowerShell Core

User Configuration\
  Administrative Templates\
    PowerShell Core

Les paramètres de stratégie de groupe dans le chemin d’accès configuration utilisateur sont prioritaires sur les paramètres stratégie de groupe dans le chemin Configuration de l’ordinateur.

PowerShell 7 comprend des modèles de stratégie de groupe et un script d’installation dans $PSHOME.

Les outils de stratégie de groupe utilisent des fichiers de modèles d’administration (.admx, .adml) pour remplir les paramètres de stratégie dans l’interface utilisateur. Cela permet aux administrateurs de gérer les paramètres de stratégie basés sur le registre. Le InstallPSCorePolicyDefinitions.ps1 script installe PowerShell Core Administrative Templates sur l’ordinateur local.

Get-ChildItem -Path $PSHOME -Filter *Core*Policy*
    Directory: C:\Program Files\PowerShell\7

Mode       LastWriteTime         Length Name
----       -------------         ------ ----
-a---      2/27/2020 12:38 AM     15861 InstallPSCorePolicyDefinitions.ps1
-a---      2/27/2020 12:28 AM      9675 PowerShellCoreExecutionPolicy.adml
-a---      2/27/2020 12:28 AM      6201 PowerShellCoreExecutionPolicy.admx

Après avoir installé les modèles, vous pouvez modifier ces paramètres dans l’éditeur de stratégie de groupe (gpedit.msc).

Les stratégies sont les suivantes :

  • Configuration de session de console : définit un point de terminaison de configuration dans lequel PowerShell est exécuté.
  • Activer la journalisation des modules : définit la propriété LogPipelineExecutionDetails des modules.
  • Activer la journalisation de blocs de scripts PowerShell : active la journalisation détaillée de tous les scripts PowerShell.
  • Activer l’exécution des scripts : définit la stratégie d'exécution de PowerShell.
  • Activer la transcription PowerShell : active la capture d’entrée et de sortie de commandes PowerShell dans des transcriptions textuelles.
  • Définissez le chemin d’accès source par défaut pour Update-Help: Définit la source de l’aide pouvant être mise à jour sur un répertoire, et non sur Internet.

Chaque paramètre de stratégie de groupe PowerShell dispose d’une option ( champ « Utiliser Windows PowerShell paramètre de stratégie ») pour utiliser la valeur d’un paramètre de Windows PowerShell stratégie de groupe similaire qui se trouve dans le champ suivant stratégie de groupe chemins :

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

Notes

Ces modèles d’administration PowerShell Core n’incluent pas de paramètres pour Windows PowerShell. Pour plus d’informations sur l’acquisition d’autres modèles et la configuration d’une stratégie de groupe, consultez Création et gestion du Magasin central pour stratégie de groupe modèles d’administration dans Windows.

Configuration de la session de console

Le paramètre de stratégie de configuration de session console spécifie un point de terminaison de configuration dans lequel PowerShell est exécuté. Il peut s’agir de n’importe quel point de terminaison inscrit sur l’ordinateur local, y compris les points de terminaison de communication à distance PowerShell par défaut ou un point de terminaison personnalisé ayant des fonctionnalités de rôle utilisateur spécifiques.

Activer la journalisation des modules

Le paramètre de stratégie Activer la journalisation des modules active la journalisation pour les modules PowerShell sélectionnés. Le paramètre est effectif dans toutes les sessions sur tous les ordinateurs affectés.

Si vous activez ce paramètre de stratégie et spécifiez un ou plusieurs modules, les événements d’exécution de pipeline pour les modules spécifiés sont enregistrés dans le journal Windows PowerShell dans observateur d'événements.

Si vous désactivez ce paramètre de stratégie, la journalisation des événements d’exécution est désactivée pour tous les modules PowerShell.

Si ce paramètre de stratégie n’est pas configuré, la propriété LogPipelineExecutionDetails de chaque module détermine si les événements d’exécution d’un module sont consignés. Par défaut, la propriété LogPipelineExecutionDetails de tous les modules a la valeur False.

Pour activer la journalisation des modules pour un module, utilisez le format de commande suivant. Le module doit être importé dans la session et le paramètre n’est effectif que dans la session active.

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

Pour activer la journalisation des modules pour toutes les sessions sur un ordinateur particulier, ajoutez les commandes précédentes au profil PowerShell « Tous les utilisateurs » ($Profile.AllUsersAllHosts).

Pour plus d’informations sur la journalisation des modules, consultez about_Modules.

Activer la journalisation des blocs de script PowerShell

Le paramètre de stratégie Activer la journalisation des blocs de script PowerShell active la journalisation de toutes les entrées de script PowerShell dans le journal des événements Microsoft-Windows-PowerShell/Operational. Si vous activez ce paramètre de stratégie, PowerShell Core journalise le traitement des commandes, des blocs de script, des fonctions et des scripts, qu’ils soient appelés de manière interactive ou via l’automatisation.

Si vous désactivez ce paramètre de stratégie, la journalisation des entrées de script PowerShell est désactivée. Si vous activez la journalisation des appels de bloc de script, PowerShell journalise en plus les événements lors de l’appel d’une commande, un bloc de script, d’une fonction, ou quand un script démarre ou s’arrête. L’activation de la journalisation des appels génère un grand volume de journaux des événements.

Activer l’exécution du script

Le paramètre de stratégie Activer l’exécution du script définit la stratégie d’exécution pour les ordinateurs et les utilisateurs, qui détermine les scripts autorisés à s’exécuter.

Si vous activez le paramètre de stratégie, vous pouvez sélectionner parmi les paramètres de stratégie suivants.

  • Autoriser uniquement les scripts signés permet aux scripts de s’exécuter uniquement s’ils sont signés par un éditeur approuvé. Ce paramètre de stratégie équivaut à la stratégie d’exécution AllSigned.

  • Autoriser les scripts locaux et les scripts signés à distance permettent à tous les scripts locaux de s’exécuter. Les scripts provenant d’Internet doivent être signés par un éditeur approuvé. Ce paramètre de stratégie équivaut à la stratégie d’exécution RemoteSigned.

  • Autoriser tous les scripts autorise l’exécution de tous les scripts. Ce paramètre de stratégie équivaut à la stratégie d’exécution sans restriction.

Si vous désactivez ce paramètre de stratégie, aucun script n’est autorisé à s’exécuter. Ce paramètre de stratégie équivaut à la stratégie d’exécution restreinte.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, la stratégie d’exécution définie pour l’ordinateur ou l’utilisateur par l’applet Set-ExecutionPolicy de commande détermine si les scripts sont autorisés à s’exécuter. La valeur par défaut est Restricted.

Pour plus d’informations, consultez about_Execution_Policies.

Activer la transcription PowerShell

Le paramètre de stratégie Activer la transcription PowerShell vous permet de capturer l’entrée et la sortie des commandes PowerShell Core dans des transcriptions textuelles. Si vous activez ce paramètre de stratégie, PowerShell Core active la journalisation de la transcription pour PowerShell Core et toutes les autres applications qui tirent parti du moteur PowerShell Core. Par défaut, PowerShell Core enregistre la sortie de transcription dans le répertoire Mes documents de chaque utilisateur, avec un nom de fichier qui inclut « PowerShell_transcript », ainsi que le nom de l’ordinateur et l’heure de démarrage. L’activation de cette stratégie revient à appeler l’applet de commande Start-Transcript sur chaque session PowerShell Core.

Si vous désactivez ce paramètre de stratégie, la journalisation de la transcription des applications PowerShell est désactivée par défaut, bien que la transcription puisse toujours être activée via l’applet de commande Start-Transcript.

Si vous utilisez le paramètre OutputDirectory pour activer la journalisation de la transcription dans un emplacement partagé, veillez à limiter l’accès à ce répertoire afin d’empêcher les utilisateurs d’afficher les transcriptions d’autres utilisateurs ou ordinateurs.

Définir le chemin d’accès source par défaut pour Update-Help

Le paramètre de stratégie Set the Default Source Path for Update-Help définit une valeur par défaut pour le paramètre SourcePath de l’applet Update-Help de commande. Ce paramètre empêche les utilisateurs d’utiliser l’applet Update-Help de commande pour télécharger des fichiers d’aide à partir d’Internet.

Notes

Ce paramètre stratégie de groupe s’affiche sous Configuration de l’ordinateur et Configuration utilisateur. Toutefois, seul le paramètre stratégie de groupe sous Configuration de l’ordinateur est effectif. Le paramètre stratégie de groupe sous Configuration utilisateur est ignoré.

L’applet Update-Help de commande télécharge et installe les fichiers d’aide les plus récents pour les modules PowerShell et les installe sur l’ordinateur. Par défaut, Update-Help télécharge les nouveaux fichiers d’aide à partir d’un emplacement Internet spécifié par le module.

Toutefois, vous pouvez utiliser l’applet Save-Help de commande pour télécharger les fichiers d’aide les plus récents à un emplacement de système de fichiers, tel qu’un partage réseau, puis utiliser l’applet Update-Help de commande pour obtenir les fichiers d’aide à partir de l’emplacement du système de fichiers et les installer sur l’ordinateur. Le paramètre SourcePath de l’applet Update-Help de commande spécifie l’emplacement du système de fichiers.

En fournissant une valeur par défaut pour le paramètre SourcePath, ce paramètre stratégie de groupe ajoute implicitement le paramètre SourcePath à toutes les Update-Help commandes. Les utilisateurs peuvent remplacer l’emplacement particulier du système de fichiers spécifié comme valeur par défaut en entrant un autre emplacement de système de fichiers. Mais ils ne peuvent pas supprimer le paramètre SourcePath de la Update-Help commande.

Si vous activez ce paramètre de stratégie, vous pouvez spécifier une valeur par défaut pour le paramètre SourcePath . Entrez un emplacement de système de fichiers.

Si ce paramètre de stratégie est désactivé ou non configuré, il n’existe aucune valeur par défaut pour le paramètre SourcePath de l’applet Update-Help de commande. Les utilisateurs peuvent télécharger de l’aide à partir d’Internet ou de n’importe quel emplacement du système de fichiers.

Pour plus d’informations, voir about_Updatable_Help.

Mots clés

about_Group_Policies about_GroupPolicy

Voir aussi