about_Group_Policy_Settings

簡短描述

描述 PowerShell 的 群組原則 設定

完整描述

PowerShell 包含 群組原則 設定，可協助您在企業環境中定義 Windows 計算機的一致設定值。

PowerShell 群組原則 設定位於下列 群組原則 路徑：

Computer Configuration\
  Administrative Templates\
    PowerShell Core

User Configuration\
  Administrative Templates\
    PowerShell Core

[計算機設定路徑] 中的組策略設定優先於 [用戶組態路徑] 中的 群組原則 設定。

PowerShell 7 包含群組原則範本，以及 $PSHOME 中的安裝指令碼。

群組原則工具會使用系統管理範本檔案 (.admx、.adml)，在使用者介面中填入原則設定。 這樣可讓系統管理員管理以登錄為基礎的原則設定。 腳本 InstallPSCorePolicyDefinitions.ps1 會在本機電腦上安裝 PowerShell Core系統管理範本 。

Get-ChildItem -Path $PSHOME -Filter *Core*Policy*

    Directory: C:\Program Files\PowerShell\7

Mode       LastWriteTime         Length Name
----       -------------         ------ ----
-a---      2/27/2020 12:38 AM     15861 InstallPSCorePolicyDefinitions.ps1
-a---      2/27/2020 12:28 AM      9675 PowerShellCoreExecutionPolicy.adml
-a---      2/27/2020 12:28 AM      6201 PowerShellCoreExecutionPolicy.admx

安裝範本之後，您可以在 群組原則 編輯器中編輯這些設定， (gpedit.msc) 。

這些原則如下所示：

• 主控台工作階段組態：設定PowerShell執行的組態端點。
• 開啟模組記錄：設定模組的 LogPipelineExecutionDetails 屬性。
• 開啟 PowerShell 腳本區塊記錄：啟用所有 PowerShell 腳本的詳細記錄。
• 開啟腳本執行：設定PowerShell執行原則。
• 開啟 PowerShell 文字記錄：啟用將 PowerShell 命令的輸入和輸出擷取到文字型文字記錄。
• 設定的預設來源路徑Update-Help：將可更新說明的來源設定為目錄，而非因特網。

每個 PowerShell 群組原則 設定都有 [使用 Windows PowerShell 原則設定] 字段。 這個選項可讓您從位於下列 群組原則 路徑的類似 Windows PowerShell 群組原則 設定使用 值：

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

注意

這些 PowerShell Core 系統管理範本不包含 Windows PowerShell 的設定。 如需取得其他範本和設定組策略的詳細資訊，請參閱如何在 Windows 中建立和管理 群組原則 系統管理範本的中央存放區。

主控台會話設定

主控台會話設定原則設定會指定 PowerShell 執行的設定端點。 這可以是本機計算機上註冊的任何端點，包括預設PowerShell遠端端點或具有特定使用者角色功能的自定義端點。

開啟模組記錄

[ 開啟模組記錄 原則] 設定會開啟所選 PowerShell 模組的記錄。 此設定在所有受影響的計算機上所有會話中都有效。

如果您啟用此原則設定並指定一或多個模組，PowerShell 會在 Windows PowerShell 登入 事件檢視器 中記錄指定模組的管線執行事件。

如果您停用此原則設定，PowerShell 不會記錄任何 PowerShell 模組的執行事件。

如果未設定此原則設定，則每個模組的 LogPipelineExecutionDetails 屬性會決定PowerShell是否記錄該模組的執行事件。 根據預設，所有模組的 LogPipelineExecutionDetails 屬性都會設定為 $False。

若要開啟模組的模組記錄，請使用下列命令格式。 模組必須匯入會話，而且設定只在目前的會話中有效。

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

若要開啟特定計算機上所有會話的模組記錄，請將先前的命令新增至 [所有使用者] PowerShell 配置檔 ($Profile.AllUsersAllHosts) 。

如需模組記錄的詳細資訊，請參閱 about_Modules。

開啟 PowerShell 腳本區塊記錄

開啟 PowerShell 腳本封鎖記錄原則設定可讓您將所有 PowerShell 腳本輸入記錄到 Microsoft-Windows-PowerShell/Operational 事件記錄檔。 如果您啟用此原則設定，PowerShell 會記錄命令、腳本區塊、函式和腳本的處理，無論是以互動方式叫用，還是透過自動化來叫用。

如果您停用此原則設定，則不會記錄 PowerShell 腳本輸入。 如果您啟用文本區塊調用記錄，PowerShell 也會在叫用命令、腳本區塊、函式或腳本啟動或停止時記錄事件。 啟用引動過程記錄會產生大量的事件記錄檔。

開啟腳本執行

[開啟文稿執行原則] 設定會設定計算機和使用者的執行原則。 執行原則會決定是否允許腳本執行。

如果啟用原則設定，您可以從下列原則設定中選取。

• 只允許已簽署的腳本 ，只有當腳本是由受信任的發行者簽署時，才會執行。 此原則設定相當於 AllSigned 執行原則。

• 允許本機腳本和遠端簽署文本 允許所有本機腳本執行。 來自因特網的腳本必須由受信任的發行者簽署。 此原則設定相當於 RemoteSigned 執行原則。

• 允許所有文稿 允許所有文稿執行。 此原則設定相當於 Unrestricted 執行原則。

如果您停用此原則設定，則不允許執行任何腳本。 此原則設定相當於 Restricted 執行原則。

如果您未設定此原則設定，Cmdlet 為電腦或使用者 Set-ExecutionPolicy 設定的執行原則會決定是否允許腳本執行。 預設值是 Restricted。

如需詳細資訊，請參閱 about_Execution_Policies。

開啟 PowerShell 轉譯

[開啟 PowerShell 轉譯原則] 設定可讓您將 PowerShell 命令的輸入和輸出擷取到文字型文字記錄中。 如果您啟用此原則設定，PowerShell 會啟用 PowerShell 的轉譯記錄，以及利用 PowerShell 引擎的任何其他應用程式。 根據預設，PowerShell 會記錄每個使用者目錄的 My Documents 文字記錄輸出，其中包含的檔名 PowerShell_transcript，以及計算機名稱和開始時間。 啟用此原則的效果與在每個PowerShell工作階段上呼叫 Start-Transcript Cmdlet 的效果相同。

如果您停用此原則設定，PowerShell 型應用程式預設不會寫入文字記錄。 Cmdlet Start-Transcript 仍然可以啟用轉譯記錄。

將 OutputDirectory 設定為文字記錄的共用位置時，限制目錄的存取權，以防止用戶檢視其他使用者或電腦的文字記錄。

設定 Update-Help 的預設來源路徑

[ 設定 Update-Help 的預設來源路徑 ] 原則設定會設定 Cmdlet 之 SourcePath 參數的 Update-Help 預設值。 此設定可防止使用者使用 Update-Help Cmdlet 從因特網下載說明檔。

注意

此 群組原則 設定會出現在 [計算機設定] 和 [使用者設定] 下方。 不過，只有 [計算機設定] 底下的 [群組原則] 設定有效。 系統會忽略 [用戶設定] 底下的 [群組原則] 設定。

Cmdlet Update-Help 會下載並安裝 PowerShell 模組的最新說明檔，並將其安裝在計算機上。 根據預設， Update-Help 從模組所指定的因特網位置下載新的說明檔。

不過，您可以使用 Save-Help Cmdlet 將最新的說明檔下載到檔案系統位置，例如網路共用，然後使用 Update-Help Cmdlet 從文件系統位置取得說明檔，並將其安裝在計算機上。 Cmdlet 的 Update-HelpSourcePath 參數會指定檔案系統位置。

藉由提供SourcePath參數的預設值，這個 群組原則 設定會隱含地將SourcePath參數新增至所有Update-Help命令。 用戶可以輸入不同的檔案系統位置，覆寫指定為預設值的特定文件系統位置。 但它們無法從 Update-Help 命令中移除SourcePath參數。

如果啟用此原則設定，您可以指定 SourcePath 參數的預設值。 輸入檔案系統位置。

如果停用或未設定此原則設定，Cmdlet 的 Update-HelpSourcePath 參數沒有預設值。 用戶可以從因特網或任何文件系統位置下載說明。

如需詳細資訊，請參閱 about_Updatable_Help。

關鍵字

about_Group_Policies about_GroupPolicy

另請參閱

• about_Execution_Policies
• about_Modules
• about_Updatable_Help
• Get-executionpolicy
• Set-ExecutionPolicy
• Update-Help
• Save-Help
• Get-Module