about_Group_Policy_Settings
簡短描述
描述 PowerShell 的 群組原則 設定
完整描述
PowerShell 包含 群組原則 設定,可協助您在企業環境中定義 Windows 計算機的一致設定值。
PowerShell 群組原則 設定位於下列 群組原則 路徑中:
Computer Configuration\
Administrative Templates\
PowerShell Core
User Configuration\
Administrative Templates\
PowerShell Core
[使用者設定路徑] 中的組策略設定優先於 [計算機設定] 路徑中的 群組原則 設定。
PowerShell 7 包含群組原則範本,以及 $PSHOME 中的安裝指令碼。
群組原則工具會使用系統管理範本檔案 (.admx、.adml),在使用者介面中填入原則設定。 這樣可讓系統管理員管理以登錄為基礎的原則設定。 腳本 InstallPSCorePolicyDefinitions.ps1 會在本機電腦上安裝 PowerShell Core系統管理範本 。
Get-ChildItem -Path $PSHOME -Filter *Core*Policy*
Directory: C:\Program Files\PowerShell\7
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a--- 2/27/2020 12:38 AM 15861 InstallPSCorePolicyDefinitions.ps1
-a--- 2/27/2020 12:28 AM 9675 PowerShellCoreExecutionPolicy.adml
-a--- 2/27/2020 12:28 AM 6201 PowerShellCoreExecutionPolicy.admx
安裝範本之後,您可以在 群組原則 編輯器中編輯這些設定, (gpedit.msc) 。
這些原則如下所示:
- 主控台工作階段設定:設定 PowerShell 執行所在的設定端點。
- 開啟模組記錄:設定模組的 LogPipelineExecutionDetails 屬性。
- 開啟 PowerShell 指令碼區塊記錄:啟用所有 PowerShell 指令碼的詳細記錄。
- 開啟指令碼執行:設定 PowerShell 執行原則。
- 開啟 PowerShell 轉譯:將 PowerShell 命令的輸入和輸出,擷取到以文字為基礎的文字記錄。
- 設定的預設來源路徑
Update-Help:將可更新說明的來源設定為目錄,而不是因特網。
每個 PowerShell 群組原則 設定都有選項 ([使用 Windows PowerShell 原則設定] 欄位) 使用位於下列 群組原則 路徑中類似 Windows PowerShell 群組原則 設定的值:
Computer Configuration\
Administrative Templates\
Windows Components\
Windows PowerShell
User Configuration\
Administrative Templates\
Windows Components\
Windows PowerShell
注意
這些 PowerShell Core 系統管理範本不包含 Windows PowerShell 的設定。 如需取得其他範本和設定組策略的詳細資訊,請參閱如何在 Windows 中建立和管理 群組原則 系統管理範本的中央存放區。
主控台會話設定
主控台會話設定原則設定會指定執行 PowerShell 的組態端點。 這可以是本機計算機上註冊的任何端點,包括預設PowerShell遠端端點或具有特定使用者角色功能的自定義端點。
開啟模組記錄
[ 開啟模組記錄 ] 原則設定會開啟所選 PowerShell 模組的記錄功能。 此設定在所有受影響的計算機上所有會話中都有效。
如果啟用此原則設定並指定一或多個模組,則會將指定模組的管線執行事件記錄在 Windows PowerShell 登入 事件檢視器 中。
如果停用此原則設定,則會停用所有 PowerShell 模組的執行事件記錄。
如果未設定此原則設定,則每個模組的 LogPipelineExecutionDetails 屬性會判斷是否記錄模組的執行事件。 根據預設,所有模組的 LogPipelineExecutionDetails 屬性會設定為 False。
若要開啟模組的模組記錄,請使用下列命令格式。 模組必須匯入會話中,而且設定只在目前的會話中有效。
Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true
若要針對特定計算機上的所有會話開啟模組記錄,請將先前的命令新增至 [所有使用者] PowerShell 配置檔 $Profile.AllUsersAllHosts () 。
如需模組記錄的詳細資訊,請參閱 about_Modules。
開啟 PowerShell 腳本區塊記錄
[開啟 PowerShell 腳本區塊記錄] 原則設定可讓您將所有 PowerShell 腳本輸入記錄到 Microsoft-Windows-PowerShell/Operational 事件記錄檔。 如果啟用此原則設定,PowerShell Core 會記錄命令、腳本區塊、函式和腳本的處理,無論是以互動方式叫用,還是透過自動化來叫用。
如果您停用此原則設定,則會停用 PowerShell 指令碼輸入的記錄功能。 如果您啟用指令碼區塊引動過程記錄,PowerShell 會額外記錄命令、指令碼區塊、函式或指令碼啟動或停止時的事件。 啟用引動過程記錄會產生大量的事件記錄檔。
開啟腳本執行
[開啟文本執行原則] 設定會設定計算機和使用者的執行原則,以決定允許執行哪些腳本。
如果啟用原則設定,您可以從下列原則設定中選取。
只允許已簽署的腳本 ,只有當腳本是由受信任的發行者簽署時,才會執行。 此原則設定相當於 AllSigned 執行原則。
允許本機腳本和遠端簽署的腳本 允許所有本機腳本執行。 來自因特網的腳本必須由受信任的發行者簽署。 此原則設定相當於 RemoteSigned 執行原則。
允許所有文稿 允許所有文稿執行。 此原則設定相當於不受限制的執行原則。
如果停用此原則設定,則不允許執行任何腳本。 此原則設定相當於受限制的執行原則。
如果停用或未設定此原則設定,Cmdlet 為計算機或使用者 Set-ExecutionPolicy 設定的執行原則會決定是否允許腳本執行。 預設值為 Restricted。
如需詳細資訊,請參閱 about_Execution_Policies。
開啟 PowerShell 轉譯
[開啟 PowerShell 轉譯原則] 設定可讓您將 PowerShell Core 命令的輸入和輸出擷取到以文字為基礎的文字記錄中。 如果您啟用此原則設定,PowerShell Core 將會啟用 PowerShell Core 的轉譯記錄,以及利用 PowerShell Core 引擎的任何其他應用程式。 根據預設,PowerShell Core 會將文字記錄輸出記錄給每個使用者的 [我的文檔] 目錄,其檔名包含 『PowerShell_transcript』,以及計算機名稱和開始時間。 啟用此原則相當於在每個 PowerShell Core 工作階段上呼叫 Start-Transcript Cmdlet。
如果停用此原則設定,預設會停用PowerShell型應用程式的轉譯記錄,不過仍可透過 Start-Transcript Cmdlet 來啟用轉譯。
如果您使用 OutputDirectory 設定來啟用轉譯記錄至共用位置,請務必限制該目錄的存取權,以防止用戶檢視其他使用者或計算機的文字記錄。
設定 Update-Help 的預設來源路徑
[設定 Update-Help 的預設來源路徑] 原則設定會設定 Cmdlet 之 SourcePath 參數的Update-Help預設值。
此設定可防止使用者使用 Update-Help Cmdlet 從因特網下載說明檔。
注意
此 群組原則 設定會出現在 [計算機設定] 和 [使用者設定] 底下。 不過,只有 [計算機設定] 底下的 [群組原則] 設定有效。 忽略 [用戶設定] 底下的 [群組原則] 設定。
Cmdlet 會 Update-Help 下載並安裝 PowerShell 模組的最新說明檔,並在電腦上安裝它們。 根據預設, Update-Help 從模組所指定的因特網位置下載新的說明檔。
不過,您可以使用 Save-Help Cmdlet 將最新的說明檔下載至檔案系統位置,例如網路共用,然後使用 Update-Help Cmdlet 從文件系統位置取得說明檔,並將其安裝在計算機上。 Cmdlet 的 Update-HelpSourcePath 參數會指定檔案系統位置。
藉由提供SourcePath參數的預設值,此 群組原則 設定會隱含地將SourcePath參數新增至所有Update-Help命令。 用戶可以輸入不同的檔案系統位置,覆寫指定為預設值的特定文件系統位置。
但它們無法從 Update-Help 命令中移除SourcePath參數。
如果啟用此原則設定,您可以指定 SourcePath 參數的預設值。 輸入檔案系統位置。
如果停用或未設定此原則設定,Cmdlet 的 Update-HelpSourcePath 參數沒有預設值。 用戶可以從因特網或任何文件系統位置下載說明。
如需詳細資訊,請參閱 about_Updatable_Help。
關鍵字
about_Group_Policies about_GroupPolicy