about_Group_Policy_Settings

Korte beschrijving

Hierin worden de groepsbeleid-instellingen voor PowerShell beschreven

Lange beschrijving

PowerShell bevat groepsbeleid-instellingen voor het definiëren van consistente configuratiewaarden voor Windows-computers in een bedrijfsomgeving.

De PowerShell-groepsbeleid-instellingen bevinden zich in de volgende groepsbeleid paden:

Computer Configuration\
  Administrative Templates\
    PowerShell Core

User Configuration\
  Administrative Templates\
    PowerShell Core

Groepsbeleidsinstellingen in het pad Computerconfiguratie hebben voorrang op groepsbeleid instellingen in het pad Gebruikersconfiguratie.

PowerShell 7 bevat groepsbeleid sjablonen en een installatiescript in $PSHOME.

groepsbeleid hulpprogramma's gebruiken beheersjabloonbestanden (.admx, .adml) om beleidsinstellingen in de gebruikersinterface te vullen. Hiermee kunnen beheerders beleidsinstellingen op basis van het register beheren. Met InstallPSCorePolicyDefinitions.ps1 het script worden PowerShell Core-beheersjablonen op de lokale computer geïnstalleerd.

Get-ChildItem -Path $PSHOME -Filter *Core*Policy*

    Directory: C:\Program Files\PowerShell\7

Mode       LastWriteTime         Length Name
----       -------------         ------ ----
-a---      2/27/2020 12:38 AM     15861 InstallPSCorePolicyDefinitions.ps1
-a---      2/27/2020 12:28 AM      9675 PowerShellCoreExecutionPolicy.adml
-a---      2/27/2020 12:28 AM      6201 PowerShellCoreExecutionPolicy.admx

Nadat u de sjablonen hebt geïnstalleerd, kunt u deze instellingen bewerken in de groepsbeleid editor (gpedit.msc).

De beleidsregels zijn als volgt:

• Configuratie van consolesessies: hiermee stelt u een configuratie-eindpunt in waarin PowerShell wordt uitgevoerd.
• Modulelogboekregistratie inschakelen: hiermee stelt u de eigenschap LogPipelineExecutionDetails van modules in.
• Logboekregistratie van PowerShell-scripts inschakelen: hiermee schakelt u gedetailleerde logboekregistratie van alle PowerShell-scripts in.
• Scriptuitvoering inschakelen: hiermee stelt u het PowerShell-uitvoeringsbeleid in.
• PowerShell-transcriptie inschakelen: hiermee kunt u invoer en uitvoer van PowerShell-opdrachten vastleggen in transcripties op basis van tekst.
• Stel het standaardbronpad in voor Update-Help: Hiermee stelt u de bron voor Bijwerkbare Help in op een map, niet op internet.

Elke PowerShell-groepsbeleid-instelling heeft het veld 'Beleidsinstelling Windows PowerShell gebruiken'. Met deze optie kunt u de waarde van een vergelijkbare Windows PowerShell groepsbeleid instelling gebruiken die zich in de volgende groepsbeleid paden bevindt:

Computer Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

User Configuration\
  Administrative Templates\
    Windows Components\
      Windows PowerShell

Notitie

Deze PowerShell Core-beheersjablonen bevatten geen instellingen voor Windows PowerShell. Zie Het centrale archief maken en beheren voor groepsbeleid beheersjablonen in Windows voor meer informatie over het verkrijgen van andere sjablonen en het configureren van groepsbeleid.

Configuratie van consolesessies

Met de beleidsinstelling consolesessieconfiguratie wordt een configuratie-eindpunt opgegeven waarin PowerShell wordt uitgevoerd. Dit kan elk eindpunt zijn dat is geregistreerd op de lokale computer, inclusief de standaard powershell-eindpunten voor externe communicatie of een aangepast eindpunt met specifieke mogelijkheden voor gebruikersrollen.

Modulelogboekregistratie inschakelen

Met de beleidsinstelling Modulelogboekregistratie inschakelen schakelt u logboekregistratie in voor geselecteerde PowerShell-modules. De instelling is effectief in alle sessies op alle betrokken computers.

Als u deze beleidsinstelling inschakelt en een of meer modules opgeeft, registreert PowerShell uitvoerings gebeurtenissen voor de pijplijn voor de opgegeven modules in de Windows PowerShell logboek in Logboeken.

Als u deze beleidsinstelling uitschakelt, worden uitvoeringsevenementen voor PowerShell-modules niet vastgelegd in PowerShell.

Als deze beleidsinstelling niet is geconfigureerd, bepaalt de eigenschap LogPipelineExecutionDetails van elke module of PowerShell de uitvoeringsgebeurtenissen van die module registreert. De eigenschap LogPipelineExecutionDetails van alle modules is standaard ingesteld op $False.

Als u modulelogboekregistratie voor een module wilt inschakelen, gebruikt u de volgende opdrachtindeling. De module moet worden geïmporteerd in de sessie en de instelling is alleen van kracht in de huidige sessie.

Import-Module <Module-Name>
(Get-Module <Module-Name>).LogPipelineExecutionDetails = $true

Als u modulelogboekregistratie wilt inschakelen voor alle sessies op een bepaalde computer, voegt u de vorige opdrachten toe aan het PowerShell-profiel Alle gebruikers ($Profile.AllUsersAllHosts).

Zie about_Modules voor meer informatie over modulelogboekregistratie.

Logboekregistratie van PowerShell-scriptblokken inschakelen

Met de beleidsinstelling PowerShell-script blokkeren inschakelen kunt u logboekregistratie van alle PowerShell-scriptinvoer in het Microsoft-Windows-PowerShell/Operational-gebeurtenislogboek inschakelen. Als u deze beleidsinstelling inschakelt, registreert PowerShell de verwerking van opdrachten, scriptblokken, functies en scripts, ongeacht of deze interactief worden aangeroepen of via automatisering.

Als u deze beleidsinstelling uitschakelt, wordt PowerShell-scriptinvoer niet geregistreerd. Als u de logboekregistratie voor aanroepen van scriptblokken inschakelt, registreert PowerShell ook gebeurtenissen wanneer het aanroepen van een opdracht, scriptblok, functie of script wordt gestart of gestopt. Als het aanroeplogbestand wordt ingeschakeld, wordt er een groot aantal gebeurtenislogboeken gegenereerd.

Scriptuitvoering inschakelen

Met de beleidsinstelling Scriptuitvoering inschakelen wordt het uitvoeringsbeleid voor computers en gebruikers ingesteld. Het uitvoeringsbeleid bepaalt of scripts mogen worden uitgevoerd.

Als u de beleidsinstelling inschakelt, kunt u kiezen uit de volgende beleidsinstellingen.

• Met Alleen ondertekende scripts toestaan kunnen scripts alleen worden uitgevoerd als ze zijn ondertekend door een vertrouwde uitgever. Deze beleidsinstelling is gelijk aan het AllSigned uitvoeringsbeleid.

• Lokale scripts toestaan en extern ondertekende scripts toestaan dat alle lokale scripts worden uitgevoerd. Scripts die afkomstig zijn van internet, moeten zijn ondertekend door een vertrouwde uitgever. Deze beleidsinstelling is gelijk aan het RemoteSigned uitvoeringsbeleid.

• Met Alle scripts toestaan kunnen alle scripts worden uitgevoerd. Deze beleidsinstelling is gelijk aan het Unrestricted uitvoeringsbeleid.

Als u deze beleidsinstelling uitschakelt, mogen er geen scripts worden uitgevoerd. Deze beleidsinstelling is gelijk aan het Restricted uitvoeringsbeleid.

Als u deze beleidsinstelling niet configureert, bepaalt het uitvoeringsbeleid dat door de Set-ExecutionPolicy cmdlet voor de computer of gebruiker is ingesteld of scripts mogen worden uitgevoerd. De standaardwaarde is Restricted.

Zie about_Execution_Policies voor meer informatie.

PowerShell-transcriptie inschakelen

Met de beleidsinstelling PowerShell-transcriptie inschakelen kunt u de invoer en uitvoer van PowerShell-opdrachten vastleggen in transcripties op basis van tekst. Als u deze beleidsinstelling inschakelt, schakelt PowerShell transcriptielogboekregistratie in voor PowerShell en andere toepassingen die gebruikmaken van de PowerShell-engine. Standaard registreert PowerShell transcriptuitvoer naar de map van My Documents elke gebruiker, met een bestandsnaam die , samen met de computernaam en de tijd waarop PowerShell_transcriptis gestart, bevat. Het inschakelen van dit beleid heeft hetzelfde effect als het aanroepen van de Start-Transcript cmdlet in elke PowerShell-sessie.

Als u deze beleidsinstelling uitschakelt, worden in PowerShell-toepassingen standaard geen transcriptielogboeken geschreven. De Start-Transcript cmdlet kan nog steeds transcriptielogboekregistratie inschakelen.

Beperk de toegang tot de map bij het instellen van OutputDirectory op een gedeelde locatie voor transcriptregistratie om te voorkomen dat gebruikers de transcripties van andere gebruikers of computers kunnen bekijken.

Het standaardbronpad instellen voor Update-Help

Met de beleidsinstelling Het standaardbronpad instellen voor Update-Help wordt een standaardwaarde ingesteld voor de parameter SourcePath van de Update-Help cmdlet. Met deze instelling voorkomt u dat gebruikers de Update-Help cmdlet gebruiken om Help-bestanden van internet te downloaden.

Notitie

Deze groepsbeleid instelling wordt weergegeven onder Computerconfiguratie en Gebruikersconfiguratie. Alleen de instelling groepsbeleid onder Computerconfiguratie is echter effectief. De instelling groepsbeleid onder Gebruikersconfiguratie wordt genegeerd.

De Update-Help cmdlet downloadt en installeert de nieuwste Help-bestanden voor PowerShell-modules en installeert deze op de computer. Standaard worden Update-Help nieuwe Help-bestanden gedownload vanaf een internetlocatie die is opgegeven door de module.

U kunt de Save-Help cmdlet echter gebruiken om de nieuwste Help-bestanden te downloaden naar een bestandssysteemlocatie, zoals een netwerkshare, en vervolgens de Update-Help cmdlet gebruiken om de Help-bestanden op te halen uit de locatie van het bestandssysteem en deze op de computer te installeren. De parameter SourcePath van de Update-Help cmdlet geeft de locatie van het bestandssysteem op.

Door een standaardwaarde op te geven voor de parameter SourcePath, voegt deze groepsbeleid instelling impliciet de SourcePath-parameter toe aan alle Update-Help opdrachten. Gebruikers kunnen de locatie van het specifieke bestandssysteem overschrijven die is opgegeven als de standaardwaarde door een andere bestandssysteemlocatie in te voeren. Maar ze kunnen de parameter SourcePath niet verwijderen uit de Update-Help opdracht.

Als u deze beleidsinstelling inschakelt, kunt u een standaardwaarde opgeven voor de parameter SourcePath . Voer een bestandssysteemlocatie in.

Als deze beleidsinstelling is uitgeschakeld of niet is geconfigureerd, is er geen standaardwaarde voor de SourcePath-parameter van de Update-Help cmdlet. Gebruikers kunnen help downloaden van internet of vanaf een willekeurige bestandssysteemlocatie.

Zie about_Updatable_Help voor meer informatie.

Trefwoorden

about_Group_Policies about_GroupPolicy

Zie ook

• about_Execution_Policies
• about_Modules
• about_Updatable_Help
• Get-ExecutionPolicy
• Set-ExecutionPolicy
• Update-Help
• Save-Help
• Get-Module