about_Execution_Policies
应用到: Windows PowerShell 2.0, Windows PowerShell 3.0, Windows PowerShell 4.0, Windows PowerShell 5.0
主题
about_Execution_Policies
简短说明
介绍 Windows PowerShell® 执行策略并说明如何管理它们。
详细说明
Windows PowerShell 执行策略允许你确定 Windows PowerShell 加载配置文件并运行脚本的条件。
你可以为本地计算机、当前用户或某个特定的会话设置执行策略。也可以使用组策略设置为计算机和用户设置执行策略。
本地计算机和当前用户的执行策略存储在注册表中。无需在 Windows PowerShell 配置文件中设置执行策略。某个特定会话的执行策略仅存储在内存中,当关闭会话时,该执行策略会丢失。
执行策略不是限制用户操作的安全系统。例如,当用户无法运行脚本时,可以通过在命令行键入脚本内容轻松绕过策略。相反,执行策略帮助用户设置基本规则并阻止他们无意中违反规则。
WINDOWS POWERSHELL 执行策略
Windows PowerShell 执行策略如下所示:
默认执行策略为“Restricted”。
RESTRICTED
- Windows 8、Windows Server 2012 和 Windows 8.1 中的默认执行策略。
- 允许单独的命令,但不会运行脚本。
- 阻止所有脚本文件的运行,包括格式设置文件和配置文件 (.ps1xml)、模块脚本文件 (.psm1) 和 Windows PowerShell 配置文件 (.ps1)。
ALLSIGNED
- 脚本可以运行。
- 要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。
- 会在运行来自某类发布者(即你尚未归类为受信任或不受信任的发布者)的脚本之前提示你。
- 存在运行已签名但却是恶意的脚本的风险。
REMOTESIGNED
- 脚本可以运行。这是 Windows Server 2012 R2 中的默认执行策略。
- 要求从 Internet 下载的脚本和配置文件(包括电子邮件和即时消息程序)具有受信任的发布者的数字签名。
- 不要求你在本地计算机上编写的脚本(不是从 Internet 下载的)具有数字签名。
- 如果脚本已被取消阻止(比如通过使用 Unblock-File cmdlet),则运行从 Internet 下载但未签名的脚本。
- 存在运行来自 Internet 之外的源的未签名脚本和已签名但却是恶意的脚本的风险。
UNRESTRICTED
- 未签名的脚本可以运行。(这存在运行恶意脚本的风险。)
- 在运行从 Internet 下载的脚本和配置文件之前提醒用户。
BYPASS
- 不阻止任何内容,并且没有任何警告或提示。
- 该执行策略旨在用于后述配置:在其中 Windows PowerShell 被内置于一个更大的应用程序中,或者在其中 Windows PowerShell 是具有其自己安全模式的程序的基础。
UNDEFINED
- 当前作用域中未设置执行策略。
- 如果所有作用域中的执行策略都是 Undefined,则有效的执行策略是 Restricted,它是默认执行策略。
注意:在不区分通用命名约定 (UNC) 路径和 Internet 路径的系统上,可能不允许使用 RemoteSigned 执行策略运行由 UNC 路径标识的脚本。
执行策略作用域
你可以设置仅在某个特定作用域中有效的执行策略。
Scope 的有效值为 Process、CurrentUser 和 LocalMachine。设置执行策略时,LocalMachine 是默认值。
按优先顺序列出这些 Scope 值。
- PROCESS
执行策略仅影响当前会话(当前 Windows PowerShell 进程)。
执行策略存储在 $env:PSExecutionPolicyPreference 环境变量中,不是存储在注册表中,并且当关闭会话时会删除它。不能通过编辑变量值来更改策略。
- CURRENTUSER
执行策略仅影响当前用户。它存储在 HKEY_CURRENT_USER 注册表子项中。
- LOCALMACHINE
执行策略会影响当前计算机上的所有用户。它存储在 HKEY_LOCAL_MACHINE 注册表子项中。
优先的策略在当前会话中有效,即使在较低优先级上设置了更加严格的策略。
有关详细信息,请参阅 Set-ExecutionPolicy。
获取你的执行策略
若要获取在当前会话中有效的 Windows PowerShell 执行策略,则使用 Get-ExecutionPolicy cmdlet。
以下命令获取当前执行策略:
Get-ExecutionPolicy
若要获取影响当前会话的所有执行策略,并按优先顺序显示它们,请键入:
Get-ExecutionPolicy -List
结果将类似于下面的示例输出:
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine AllSigned
在这种情况下,有效的执行策略是 RemoteSigned,因为当前用户的执行策略优先于为本地计算机设置的执行策略。
若要获取为某个特定作用域设置的执行策略,请使用 Get-ExecutionPolicy 的 Scope 参数。
例如,以下命令获取当前用户作用域的执行策略。
Get-ExecutionPolicy -Scope CurrentUser
更改你的执行策略
若要更改你计算机上的 Windows PowerShell 执行策略,请使用 Set-ExecutionPolicy cmdlet。
更改会立即生效,你无需重新启动 Windows PowerShell。
如果你设置本地计算机(默认)或当前用户的执行策略,更改会保存在注册表中,并且在再次更改之前会保持有效。
如果你设置当前进程的执行策略,则更改不会保存在注册表中。它会保留,直到关闭当前进程和任何子进程。
注意:在 Windows Vista 和 Windows 的更高版本中,若要运行更改本地计算机(默认)的执行策略的命令,请使用“以管理员身份运行”选项启动 Windows PowerShell。
若要更改你的执行策略,请键入:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName>
例如:
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
若要设置某个特定作用域中的执行策略,请键入:
Set-ExecutionPolicy -ExecutionPolicy <PolicyName> -Scope <scope>
例如:
Set-ExecutionPolicy RemoteSigned -Scope CurrentUser
更改执行策略的命令会成功,但仍然不会更改有效的执行策略。
例如,用于设置本地计算机的执行策略的命令可能成功,但会被当前用户的执行策略覆盖。
删除你的执行策略
若要删除某个特定作用域的执行策略,则将执行策略的值设置为 Undefined。
例如,若要删除本地计算机的所有用户的执行策略,请键入:
Set-ExecutionPolicy Undefined
或者键入:
Set-ExecutionPolicy Undefined -scope LocalMachine
如果未在任何作用域中设置执行策略,则有效的执行策略是 Restricted,它是默认执行策略。
为某个会话设置一个不同的执行策略
你可以使用 PowerShell.exe 的 ExecutionPolicy 参数为新的 Windows PowerShell 会话设置执行策略。策略仅影响当前会话和子会话。
若要设置新会话的执行策略,则在命令行(比如 Cmd.exe 或 Windows PowerShell)启动 Windows PowerShell,然后使用 PowerShell.exe 的 ExecutionPolicy 参数来设置执行策略。
例如:
PowerShell.exe -ExecutionPolicy AllSigned
你设置的执行策略不是存储在注册表中,而是存储在 $env:PSExecutionPolicyPreference 环境变量中。当关闭在其中设置了策略的会话时,会删除变量。不能通过编辑变量值来更改策略。
在会话期间,为会话设置的执行策略优先于在注册表中为本地计算机或当前用户设置的执行策略。但是,它并不优先于通过使用组策略设置(在下面讨论)设置的执行策略。
使用组策略管理执行策略
你可以使用“打开脚本执行”组策略设置来管理你企业中的计算机的执行策略。组策略设置覆盖所有作用域中的 Windows PowerShell 中设置的执行策略。
“打开脚本执行”策略设置如下所示:
-- 如果禁用“打开脚本执行”,则脚本不会运行。这等效于“Restricted”执行策略。
-- 如果启用“打开脚本执行”,则可以选择一个执行策略。组策略设置等效于以下执行策略设置。
Group Policy Execution Policy
------------ ----------------
Allow all scripts. Unrestricted
Allow local scripts RemoteSigned
and remote signed
scripts.
Allow only signed AllSigned
scripts.
-- 如果未配置“打开脚本执行”,则它将不起作用。在 Windows PowerShell 中设置的执行策略是有效的。
PowerShellExecutionPolicy.adm 和 PowerShellExecutionPolicy.admx 文件将“打开脚本执行”策略添加到以下路径中组策略编辑器中的计算机配置节点和用户配置节点中。
For Windows XP and Windows Server 2003:
Administrative Templates\Windows Components\Windows PowerShell
For Windows Vista and later versions of Windows:
Administrative Templates\Classic Administrative Templates\
Windows Components\Windows PowerShell
在计算机配置节点中设置的策略优先于在用户配置节点中设置的策略。
Microsoft 下载中心提供 PowerShellExecutionPolicy.adm 文件。有关详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=131786,参阅“Windows PowerShell 的管理模版”。
有关详细信息,请访问 https://go.microsoft.com/fwlink/?LinkID=251696,参阅 about_Group_Policy_Settings。
执行策略优先级
在确定会话的有效执行策略时,Windows PowerShell 按以下优先顺序对执行策略进行评估:
- Group Policy: Computer Configuration
- Group Policy: User Configuration
- Execution Policy: Process (or PowerShell.exe -ExecutionPolicy)
- Execution Policy: CurrentUser
- Execution Policy: LocalMachine
管理已签名的和未签名的脚本
如果你的 Windows PowerShell 执行策略是 RemoteSigned,则 Windows PowerShell 将不会运行从 Internet 下载的未经签名的脚本(包括电子邮件和即时消息程序)。
你可以对脚本进行签名或选择运行未经签名的脚本,而不更改执行策略。
从 Windows PowerShell 3.0 开始,你可以使用 Get-Item cmdlet 的 Stream 参数来检测被阻止的文件,因为它们是从 Internet 下载的,并且你可以使用 Unblock-File cmdlet 取消阻止脚本以便你可以在 Windows PowerShell 中运行它们。
有关详细信息,请参阅 about_Signing、Get-Item 和 Unblock-File。
另请参阅
about_Environment_Variables
about_Signing
Get-ExecutionPolicy
Set-ExecutionPolicy
Get-Item
Unblock-File
“Windows PowerShell 的管理模板”
(https://go.microsoft.com/fwlink/?LinkId=131786)
“PowerShell.exe 控制台帮助”