關於群組原則設定

發行項
05/09/2024

簡短描述

描述 PowerShell 的群組原則設定

完整描述

PowerShell 包含群組原則設定，可協助您在企業環境中定義 Windows 計算機的一致設定值。

PowerShell 群組原則設定位於下列群組原則路徑：

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

[使用者設定路徑] 中的組策略設定優先於 [計算機設定] 路徑中的群組原則設定。

安裝範本之後，您可以在群組原則編輯器中編輯這些設定，gpedit.msc () 。

這些原則如下所示：

開啟模組記錄：設定模組的 LogPipelineExecutionDetails 屬性。
開啟 PowerShell 指令碼區塊記錄：啟用所有 PowerShell 指令碼的詳細記錄。
開啟指令碼執行：設定 PowerShell 執行原則。
開啟 PowerShell 轉譯：將 PowerShell 命令的輸入和輸出，擷取到以文字為基礎的文字記錄。
設定的預設來源路徑 Update-Help：將可更新說明的來源設定為目錄，而非因特網。

如需取得其他範本和設定組策略的詳細資訊，請參閱如何在 Windows 中建立和管理群組原則系統管理範本的中央存放區。

開啟模組記錄

[ 開啟模組記錄 原則] 設定會開啟所選 PowerShell 模組的記錄。此設定在所有受影響的計算機上所有會話中都有效。

如果您啟用此原則設定並指定一或多個模組，則指定的模組管線執行事件會記錄在 Windows PowerShell 登入事件檢視器中。

如果您停用此原則設定，則會停用所有 PowerShell 模組的執行事件記錄。

如果未設定此原則設定，則每個模組的 LogPipelineExecutionDetails 屬性會決定是否記錄模組的執行事件。根據預設，所有模組的 LogPipelineExecutionDetails 屬性都會設定為 False。

若要開啟模組的模組記錄，請使用下列命令格式。模組必須匯入會話，而且設定只在目前的會話中有效。

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

若要開啟特定計算機上所有會話的模組記錄，請將先前的命令新增至 [所有使用者] PowerShell 配置檔 ($Profile.AllUsersAllHosts) 。

如需模組記錄的詳細資訊，請參閱 about_Modules。

開啟 PowerShell 腳本區塊記錄

開啟 PowerShell 腳本封鎖記錄原則設定可讓您將所有 PowerShell 腳本輸入記錄到 Microsoft-Windows-PowerShell/Operational 事件記錄檔。如果您啟用此原則設定，PowerShell Core 會記錄命令、腳本區塊、函式和腳本的處理，無論是以互動方式叫用，還是透過自動化來叫用。

如果您停用此原則設定，則會停用 PowerShell 指令碼輸入的記錄功能。如果您啟用指令碼區塊引動過程記錄，PowerShell 會額外記錄命令、指令碼區塊、函式或指令碼啟動或停止時的事件。啟用引動過程記錄會產生大量的事件記錄檔。

開啟腳本執行

[開啟文本執行原則] 設定會設定計算機和使用者的執行原則，以決定允許執行哪些腳本。

如果啟用原則設定，您可以從下列原則設定中選取。

只允許已簽署的腳本 ，只有當腳本是由受信任的發行者簽署時，才會執行。此原則設定相當於 AllSigned 執行原則。
允許本機腳本和遠端簽署文本 允許所有本機腳本執行。來自因特網的腳本必須由受信任的發行者簽署。此原則設定相當於 RemoteSigned 執行原則。
允許所有文稿 允許所有文稿執行。此原則設定相當於不受限制的執行原則。

如果您停用此原則設定，則不允許執行任何腳本。此原則設定相當於限制執行原則。

如果停用或未設定此原則設定，Cmdlet 為計算機或使用者 Set-ExecutionPolicy 設定的執行原則會決定是否允許腳本執行。預設值為 Restricted。

如需詳細資訊，請參閱 about_Execution_Policies。

開啟 PowerShell 轉譯

[開啟 PowerShell 轉譯原則] 設定可讓您將 PowerShell Core 命令的輸入和輸出擷取到文字型文字記錄中。如果您啟用此原則設定，PowerShell Core 會啟用 PowerShell Core 的轉譯記錄，以及利用 PowerShell Core 引擎的任何其他應用程式。根據預設，PowerShell Core 會將文字記錄輸出記錄給每個使用者的 [我的檔] 目錄，其檔名包含『PowerShell_transcript』，以及計算機名稱和開始時間。啟用此原則相當於在每個 PowerShell Core 工作階段上呼叫 Start-Transcript Cmdlet。

如果您停用此原則設定，預設會停用PowerShell型應用程式的轉譯記錄，不過仍可透過 Start-Transcript Cmdlet 啟用轉譯。

如果您使用 OutputDirectory 設定來啟用轉譯記錄至共用位置，請務必限制該目錄的存取權，以防止用戶檢視其他使用者或計算機的文字記錄。

設定 Update-Help 的預設來源路徑

[ 設定 Update-Help 的預設來源路徑 ] 原則設定會設定 Cmdlet 之 SourcePath 參數的 Update-Help 預設值。此設定可防止使用者使用 Update-Help Cmdlet 從因特網下載說明檔。

注意

此群組原則設定會出現在 [計算機設定] 和 [使用者設定] 下方。不過，只有 [計算機設定] 底下的 [群組原則] 設定有效。會忽略 [用戶設定] 底下的 [群組原則設定]。

Cmdlet Update-Help 會下載並安裝 PowerShell 模組的最新說明檔，並將其安裝在計算機上。根據預設， Update-Help 從模組所指定的因特網位置下載新的說明檔。

不過，您可以使用 Save-Help Cmdlet 將最新的說明檔下載到檔案系統位置，例如網路共用，然後使用 Update-Help Cmdlet 從文件系統位置取得說明檔，並將其安裝在計算機上。 Cmdlet 的 Update-HelpSourcePath 參數會指定檔案系統位置。

藉由提供SourcePath參數的預設值，這個群組原則設定會隱含地將SourcePath參數新增至所有Update-Help命令。用戶可以輸入不同的檔案系統位置，覆寫指定為預設值的特定文件系統位置。但是，它們無法從 Update-Help 命令中移除SourcePath參數。

如果啟用此原則設定，您可以指定 SourcePath 參數的預設值。輸入檔案系統位置。

如果停用或未設定此原則設定，Cmdlet 的 Update-HelpSourcePath 參數沒有預設值。用戶可以從因特網或任何文件系統位置下載說明。

如需詳細資訊，請參閱 about_Updatable_Help。