关于组策略设置

简短描述

描述 PowerShell 的组策略设置

详细描述

PowerShell 包含组策略设置，可帮助您为企业环境中的 Windows 计算机定义一致的配置值。

PowerShell 组策略设置位于以下组策略路径中：

Computer Configuration\
  Administrative Templates\
    PowerShell Core

User Configuration\
  Administrative Templates\
    PowerShell Core

计算机配置路径中的组策略设置优先于用户配置路径中的组策略设置。

PowerShell 7 包括组策略模板和 $PSHOME 中的安装脚本。

组策略工具使用管理模板文件（.admx、.adml）在用户界面中填充策略设置。这允许管理员管理基于注册表的策略设置。 InstallPSCorePolicyDefinitions.ps1 脚本在本地计算机上安装 PowerShell 核心管理模板。

Get-ChildItem -Path $PSHOME -Filter *Core*Policy*

    Directory: C:\Program Files\PowerShell

Mode       LastWriteTime         Length Name
----       -------------         ------ ----
-a---      2/27/2020 12:38 AM     15861 InstallPSCorePolicyDefinitions.ps1
-a---      2/27/2020 12:28 AM      9675 PowerShellCoreExecutionPolicy.adml
-a---      2/27/2020 12:28 AM      6201 PowerShellCoreExecutionPolicy.admx

安装模板后，您可以在组策略编辑器 (gpedit.msc) 中编辑这些设置。

政策如下：

• 控制台会话配置：设置 PowerShell 运行的配置端点。
• 打开模块日志记录：设置模块的LogPipelineExecutionDetails属性。
• 打开 PowerShell 脚本块日志记录：启用所有 PowerShell 脚本的详细日志记录。
• 打开脚本执行：设置 PowerShell 执行策略。
• 打开 PowerShell 转录：允许将 PowerShell 命令的输入和输出捕获为基于文本的转录本。
• 设置Update-Help的默认源路径：将可更新帮助的源设置为目录，而不是 Internet。

每个 PowerShell 组策略设置都有“使用 Windows PowerShell 策略设置”字段。此选项允许使用位于以下组策略路径中的类似 Windows PowerShell 组策略设置中的值：

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

笔记

这些PowerShell 核心管理模板不包含 Windows PowerShell 设置。有关获取其他模板和配置组策略的详细信息，请参阅如何在 Windows 中创建和管理组策略管理模板的中央存储。

控制台会话配置

控制台会话配置策略设置指定 PowerShell 在其中运行的配置端点。这可以是在本地计算机上注册的任何端点，包括默认的 PowerShell 远程处理端点或具有特定用户角色功能的自定义端点。

打开模块日志记录

打开模块日志记录策略设置打开所选 PowerShell 模块的日志记录。该设置在所有受影响计算机上的所有会话中均有效。

如果启用此策略设置并指定一个或多个模块，PowerShell 会在事件查看器的 Windows PowerShell 日志中记录指定模块的管道执行事件。

如果禁用此策略设置，PowerShell 不会记录任何 PowerShell 模块的执行事件。

如果未配置此策略设置，则每个模块的 LogPipelineExecutionDetails 属性将确定 PowerShell 是否记录该模块的执行事件。默认情况下，所有模块的 LogPipelineExecutionDetails 属性均设置为 $False。

要打开模块的模块日志记录，请使用以下命令格式。该模块必须导入到会话中，且设置仅在当前会话中有效。

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

要为特定计算机上的所有会话打开模块日志记录，请将前面的命令添加到“所有用户”PowerShell 配置文件 ($Profile.AllUsersAllHosts)。

有关模块日志记录的更多信息，请参阅 about_Modules。

打开 PowerShell 脚本块日志记录

打开 PowerShell 脚本块日志记录策略设置允许将所有 PowerShell 脚本输入记录到 Microsoft-Windows-PowerShell/Operational 事件日志中。如果启用此策略设置，PowerShell 会记录命令、脚本块、函数和脚本的处理 - 无论是交互调用还是通过自动化调用。

如果禁用此策略设置，则不会记录 PowerShell 脚本输入。如果启用脚本块调用日志记录，PowerShell 还会在命令、脚本块、函数或脚本调用启动或停止时记录事件。启用调用日志记录会生成大量事件日志。

开启脚本执行

打开脚本执行策略设置为计算机和用户设置执行策略。执行策略决定是否允许脚本运行。

如果启用策略设置，则可以从以下策略设置中进行选择。

• 仅允许签名的脚本允许脚本仅在由受信任的发布者签名时才执行。此策略设置相当于 AllSigned 执行策略。

• 允许本地脚本和远程签名脚本允许运行所有本地脚本。来自 Internet 的脚本必须由受信任的发布者签名。此策略设置等效于 RemoteSigned 执行策略。

• 允许所有脚本允许运行所有脚本。此策略设置相当于Unrestricted 执行策略。

如果禁用此策略设置，则不允许运行任何脚本。此策略设置相当于Restricted 执行策略。

如果您不配置此策略设置，则由 Set-ExecutionPolicy cmdlet 为计算机或用户设置的执行策略将确定是否允许运行脚本。默认值为受限。

有关更多信息，请参阅 about_Execution_Policies。

打开 PowerShell 转录

打开 PowerShell 转录策略设置可让您将 PowerShell 命令的输入和输出捕获到基于文本的转录中。如果启用此策略设置，PowerShell 将为 PowerShell 和利用 PowerShell 引擎的任何其他应用程序启用转录日志记录。默认情况下，PowerShell 将记录输出记录到每个用户的我的文档 目录中，文件名包含PowerShell_transcript，以及计算机名称和启动时间。启用此策略与在每个 PowerShell 会话上调用 Start-Transcript cmdlet 具有相同的效果。

如果禁用此策略设置，基于 PowerShell 的应用程序默认情况下不会写入脚本日志。 Start-Transcript cmdlet 仍然可以启用转录日志记录。

将 OutputDirectory 设置为记录记录的共享位置时限制对目录的访问，以防止用户查看其他用户或计算机的记录。

设置 Update-Help 的默认源路径

设置 Update-Help 的默认源路径策略设置为 Update-Help cmdlet 的 SourcePath 参数设置默认值。此设置阻止用户使用 Update-Help cmdlet 从 Internet 下载帮助文件。

笔记

此组策略设置出现在计算机配置和用户配置下。但是，只有计算机配置下的组策略设置有效。 用户配置下的组策略设置将被忽略。

Update-Help cmdlet 下载并安装 PowerShell 模块的最新帮助文件，并将其安装在计算机上。默认情况下，Update-Help 从模块指定的 Internet 位置下载新的帮助文件。

但是，您可以使用 Save-Help cmdlet 将最新的帮助文件下载到文件系统位置（例如网络共享），然后使用 Update-Help cmdlet从文件系统位置获取帮助文件并将其安装在计算机上。 Update-Help cmdlet 的 SourcePath 参数指定文件系统位置。

通过为 SourcePath 参数提供默认值，此组策略设置隐式地将 SourcePath 参数添加到所有 Update-Help 命令中。用户可以通过输入不同的文件系统位置来覆盖指定为默认值的特定文件系统位置。但他们无法从 Update-Help 命令中删除 SourcePath 参数。

如果启用此策略设置，则可以为 SourcePath 参数指定默认值。输入文件系统位置。

如果禁用或未配置此策略设置，则 Update-Help cmdlet 的 SourcePath 参数没有默认值。用户可以从 Internet 或任何文件系统位置下载帮助。

有关详细信息，请参阅 about_Updatable_Help。

关键词

about_Group_Policy 关于_GroupPolicy

参见

• about_Execution_Policies
• about_模块
• about_Updatable_Help
• Get-ExecutionPolicy
• Set-ExecutionPolicy
• Update-Help
• Save-Help
• Get-Module