共用方式為


about_Group_Policy_設定

簡短描述

描述 PowerShell 的組策略設定

詳細描述

PowerShell 包含組策略設定,可協助您為企業環境中的 Windows 電腦定義一致的組態值。

PowerShell 組策略設定位於下列組策略路徑中:

Computer Configuration\
  Administrative Templates\
    PowerShell Core

User Configuration\
  Administrative Templates\
    PowerShell Core

計算機設定路徑中的組策略設定優先於用戶設定路徑中的組策略設定。

PowerShell 7 包含組策略範本和 中的 $PSHOME安裝腳本。

組策略工具會使用系統管理範本檔案 (.admx.adml) 在使用者介面中填入原則設定。 這可讓系統管理員管理以登錄為基礎的原則設定。 腳本會在InstallPSCorePolicyDefinitions.ps1本機計算機上安裝PowerShell Core 管理員 istrative 樣本

Get-ChildItem -Path $PSHOME -Filter *Core*Policy*
    Directory: C:\Program Files\PowerShell\7

Mode       LastWriteTime         Length Name
----       -------------         ------ ----
-a---      2/27/2020 12:38 AM     15861 InstallPSCorePolicyDefinitions.ps1
-a---      2/27/2020 12:28 AM      9675 PowerShellCoreExecutionPolicy.adml
-a---      2/27/2020 12:28 AM      6201 PowerShellCoreExecutionPolicy.admx

安裝範本之後,您可以在組策略編輯器 (gpedit.msc) 中編輯這些設定。

原則如下所示:

  • 主控台工作階段組態:設定PowerShell執行的組態端點。
  • 開啟模組記錄:設定 模組的LogPipelineExecutionDetails 屬性。
  • 開啟 PowerShell 腳本區塊記錄:啟用所有 PowerShell 腳本的詳細記錄。
  • 開啟腳本執行:設定PowerShell執行原則。
  • 開啟 PowerShell 轉譯:啟用將 PowerShell 命令的輸入和輸出擷取到以文字為基礎的文字記錄。
  • 設定的預設來源路徑 Update-Help:將可更新說明的來源設定為目錄,而不是因特網。

每個 PowerShell 組策略設定都有 [使用 Windows PowerShell 原則設定] 字段。 這個選項可讓您使用位於下列組策略路徑中類似 Windows PowerShell 組策略設定的值:

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

注意

這些 PowerShell Core 管理員 istrative 範本不包含 Windows PowerShell 的設定。 如需取得其他範本和設定組策略的詳細資訊,請參閱如何在 Windows 中建立和管理組策略的中央存放區 管理員 原則範本。

主控台會話設定

主控台 會話設定 原則設定會指定 PowerShell 執行中的設定端點。 這可以是本機計算機上註冊的任何端點,包括預設PowerShell遠端端點或具有特定使用者角色功能的自定義端點。

開啟模組記錄

[ 開啟模組記錄 原則] 設定會開啟所選 PowerShell 模組的記錄。 此設定在所有受影響的計算機上所有會話中都有效。

如果您啟用此原則設定並指定一或多個模組,PowerShell 會在 Windows PowerShell 記錄檔中的指定模組記錄管線執行事件,事件檢視器。

如果您停用此原則設定,PowerShell 不會記錄任何 PowerShell 模組的執行事件。

如果未設定此原則設定, 則每個模組的LogPipelineExecutionDetails 屬性會決定PowerShell是否記錄該模組的執行事件。 根據預設, 所有模組的 LogPipelineExecutionDetails 屬性會設定為 $False

若要開啟模組的模組記錄,請使用下列命令格式。 模組必須匯入會話,而且設定只有在目前的會話中才有效。

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

若要針對特定電腦上的所有會話開啟模組記錄,請將先前的命令新增至 「所有使用者」PowerShell 配置檔 ($Profile.AllUsersAllHosts)。

如需模組記錄的詳細資訊,請參閱 about_Modules

開啟 PowerShell 腳本區塊記錄

開啟 PowerShell 腳本區塊記錄原則設定可記錄所有 PowerShell 腳本輸入至 Microsoft-Windows-PowerShell/Operational 事件記錄檔。 如果您啟用此原則設定,PowerShell 會記錄命令、腳本區塊、函式和腳本的處理,無論是以互動方式叫用,還是透過自動化來叫用。

如果您停用此原則設定,則不會記錄 PowerShell 腳本輸入。 如果您啟用文本區塊調用記錄,PowerShell 也會在叫用命令、腳本區塊、函式或腳本啟動或停止時記錄事件。 啟用調用記錄會產生大量的事件記錄。

開啟腳本執行

[ 開啟文稿執行 原則] 設定會設定計算機和使用者的執行原則。 執行原則會決定是否允許腳本執行。

如果開啟原則設定,您可以從下列原則設定中選取 。

  • 只允許已簽署的腳本 ,只有當腳本是由受信任的發行者簽署時,才能執行腳本。 此原則設定相當於 AllSigned 執行原則。

  • 允許本機腳本和遠端簽署文本 允許所有本機腳本執行。 源自因特網的腳本必須由受信任的發行者簽署。 此原則設定相當於 RemoteSigned 執行原則。

  • 允許所有文稿 允許所有文稿執行。 此原則設定相當於 Unrestricted 執行原則。

如果停用此原則設定,則不允許執行任何腳本。 此原則設定相當於 Restricted 執行原則。

如果您未設定此原則設定,Cmdlet 為電腦或使用者 Set-ExecutionPolicy 設定的執行原則會決定是否允許腳本執行。 預設值是 Restricted

如需詳細資訊,請參閱 about_Execution_Policies

開啟 PowerShell 轉譯

[ 開啟 PowerShell 轉譯 原則] 設定可讓您將 PowerShell 命令的輸入和輸出擷取到以文字為基礎的文字記錄。 如果您啟用此原則設定,PowerShell 會啟用 PowerShell 的轉譯記錄,以及利用 PowerShell 引擎的任何其他應用程式。 根據預設,PowerShell 會記錄每個使用者目錄的 My Documents 文字記錄輸出,其中包含的 PowerShell_transcript檔名,以及計算機名稱和開始時間。 啟用此原則的效果與在每個 PowerShell 工作階段上呼叫 Start-Transcript Cmdlet 相同。

如果您停用此原則設定,PowerShell 型應用程式預設不會寫入文字記錄。 Cmdlet Start-Transcript 仍然可以啟用轉譯記錄。

將 OutputDirectory 設定為記錄記錄的共用位置時,限制目錄的存取,以防止用戶檢視其他使用者或電腦的文字記錄。

設定 Update-Help 的預設來源路徑

設定 Update-Help 原則的預設來源路徑設定會為 Cmdlet 的 Update-Help SourcePath 參數設定預設值。 此設定可防止使用者使用 Update-Help Cmdlet 從因特網下載說明檔。

注意

此組策略設定會出現在 [計算機設定] 和 [用戶設定] 底下。 不過,只有 [計算機設定] 底下的 [組策略] 設定有效。 忽略 [用戶設定] 底下的 [組策略] 設定。

Cmdlet 會 Update-Help 下載並安裝 PowerShell 模組的最新說明檔,並將其安裝在計算機上。 根據預設, Update-Help 從模組指定的因特網位置下載新的說明檔。

不過,您可以使用 Save-Help Cmdlet 將最新的說明檔下載到檔案系統位置,例如網路共用,然後使用 Update-Help Cmdlet 從文件系統位置取得說明檔,並將其安裝在計算機上。 Cmdlet 的 Update-Help SourcePath 參數會指定檔案系統位置。

藉由提供SourcePath參數的預設值,此組策略設定會隱含地將SourcePath參數新增至所有Update-Help命令。 用戶可以輸入不同的檔案系統位置,覆寫指定為預設值的特定文件系統位置。 但是它們無法從 Update-Help 命令中移除SourcePath參數。

如果啟用此原則設定,您可以指定SourcePath參數的預設值。 輸入檔案系統位置。

如果停用或未設定此原則設定,則 Cmdlet 的 Update-Help SourcePath 參數沒有預設值。 用戶可以從因特網或任何文件系統位置下載說明。

如需詳細資訊,請參閱 about_Updatable_Help

關鍵字

about_Group_Policies about_GroupPolicy

另請參閱