组策略PowerShell模块
随着Windows 7和Windows Server 2008 R2的发布,微软发布组策略模块一组25个PowerShell命令,它提供GPO管理员要管理许多相同的任务,他们将执行使用GPMC。
点击这里会免费得到 GPMC 的API cmdlet
http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/
PowerShell模块时会自动安装安装GPMC作为远程服务器管理工具(RSAT)安装,如下面的图1所示的一部分:
安装GPMC和相关的PowerShell模块
一旦安装GPMC,您可以加载简单地通过组策略模块打开PowerShell控制台会话和打字的:
1
|
Import-Module
GroupPolicy
|
为了得到一个模块中可用的cmdlet列表,只需键入:
1
|
PS>
Get-Command
–Module GroupPolicy
|
组策略模块涵盖了以下任务,通常你会GPMC内GUI执行:
创建/删除/重命名/获取的GPO
备份/还原/复制/导入的GPO
创建/获取入门GPO
获取/设置GP继承
获取/设置GPO权限
创建/删除/修改GPO链接
GPO设置的RSoP报告
获取/设置/删除管理模板设置
获取/设置/删除GP偏好注册表政策
当然,有一些是不能执行的功能
不能得到SOM或GPO GPO链接*
无法设置WMI,除由GPO(然后只得到支持)
无法写入到GPO权限拒绝ACE
无法写入SOM(例如链接/ RSOP /规划权限)*
无法读取列表中现有GPMC GPO备份*
不能读/写的GPO设置管理模板外或首选项注册表策略*
现在 我开始键入powershell指令在创建一个新的gpo ,管理模块策略设置,最后把它连接到OU,GPO上
d
$key = HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions'New-GPO 'IE No Help Policy' | Set-GPRegistryValue -Key $key `-ValueName 'NoHelpMenu' -Type DWORD -Value 1 | Set-GPPermissions -Replace `-PermissionLevel None -TargetName 'Authenticated Users' -TargetType group | `Set-GPPermissions -PermissionLevel gpoapply -TargetName 'Marketing Users' `-TargetType group | New-GPLink -Target 'OU=Marketing,DC=catngis,DC=com' –Order 1
解析一下cmdlet指令
第一个cmdlet调用新的GPO,我们创建一个GPO名为“IE没有帮助的策略”。
下一个cmdlet,称为set-GPRegistryValue,是一个在我的新建立的GPO设置一个管理模板策略,你会注意到此cmdlet上的参数设置相关的注册表值的帮助。
模板策略问题,而不是一个“友好”的路径,为了使用此cmdlet,你需要知道相关的注册表键值特定的帮助。
模板策略之前,您可以使用此策略设置,我用的注册表项和HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions \NoHelpMenu 对应GP编辑器中的一个路径下的“管理模板”
-特别是“Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Turn off displaying the Internet Explorer Help Menu,
确定基本ADMX文件注册表位置设置策略。
之后我们设置的注册表策略项目,,我们称为set-GPPermissions 删除身份验证的用户ACE GPO的安全。这是默认的ACE,允许所有用户和计算机处理,GPO被应用到一个GPO。
在上面的例子,我们希望将此GPO只能处理“营销用户”组的成员。因此,我们设置GPPermissions的调用添加营销应用组策略(gpoapply)授予访问权限的用户组。
最后,我们新的GPO使用NEW-GPLink OU cantgis.com域链接,我们就大功告成了!我们现在有一个功能齐全,完全无限制的,已经启用的链接GPO。
好了 现在我们去看看我们新设置的GPO吧
打开GPMC
1
2
|
Import-Module
grouppolicy
Get-GPO
–All (输出获得GPO)
|
好了 我们之后 会讲故障排除 关于组策略(Group Policy Troubleshooting)