博客

04 使用PowerShell管理组策略01

  • Post author:
  • Post category:其他




组策略PowerShell模块



随着Windows 7和Windows Server 2008 R2的发布,微软发布组策略模块一组25个PowerShell命令,它提供GPO管理员要管理许多相同的任务,他们将执行使用GPMC。



点击这里会免费得到 GPMC 的API  cmdlet






http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/




PowerShell模块时会自动安装安装GPMC作为远程服务器管理工具(RSAT)安装,如下面的图1所示的一部分:


安装GPMC和相关的PowerShell模块



112758793.png




一旦安装GPMC,您可以加载简单地通过组策略模块打开PowerShell控制台会话和打字的:
 

Import-Module GroupPolicy


为了得到一个模块中可用的cmdlet列表,只需键入:
 

PS> Get-Command –Module GroupPolicy


组策略模块涵盖了以下任务,通常你会GPMC内GUI执行:


  • 创建/删除/重命名/获取的GPO


  • 备份/还原/复制/导入的GPO


  • 创建/获取入门GPO


  • 获取/设置GP继承


  • 获取/设置GPO权限


  • 创建/删除/修改GPO链接


  • GPO设置的RSoP报告


  • 获取/设置/删除管理模板设置


  • 获取/设置/删除GP偏好注册表政策



当然,有一些是不能执行的功能


  • 不能得到SOM或GPO GPO链接*


  • 无法设置WMI,除由GPO(然后只得到支持)


  • 无法写入到GPO权限拒绝ACE


  • 无法写入SOM(例如链接/ RSOP /规划权限)*


  • 无法读取列表中现有GPMC GPO备份*


  • 不能读/写的GPO设置管理模板外或首选项注册表策略*

现在 我开始键入powershell指令在创建一个新的gpo ,管理模块策略设置,最后把它连接到OU,GPO上

d


$key = HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions’New-GPO ‘IE No Help Policy’ | Set-GPRegistryValue -Key $key `-ValueName ‘NoHelpMenu’ -Type DWORD -Value 1 | Set-GPPermissions -Replace `-PermissionLevel None -TargetName ‘Authenticated Users’ -TargetType group | `Set-GPPermissions -PermissionLevel gpoapply -TargetName ‘Marketing Users’ `-TargetType group | New-GPLink -Target ‘OU=Marketing,DC=catngis,DC=com’ –Order 1



解析一下cmdlet指令


第一个cmdlet调用



新的GPO




,我们创建一个GPO名为“IE没有帮助的策略”。



下一个cmdlet,称为




set-GPRegistryValue




,是一个在我的新建立的GPO设置一个管理模板策略,


你会注意到此cmdlet上的参数设置相关的注册表值的帮助。



模板策略问题,而不是一个“友好”的路径,


为了使用此cmdlet,你需要知道相关的注册表键值特定的帮助。



模板策略之前,您可以使用此策略设置,


我用的注册表项和


HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions \NoHelpMenu


对应GP编辑器中的一个路径下的“管理模板”



-特别是“


Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Turn off displaying the Internet Explorer Help Menu




确定基本ADMX文件注册表位置设置策略。


之后我们设置的注册表策略项目,,我们称为



set-GPPermissions



删除身份验证的用户ACE GPO的安全。


这是默认的ACE,允许所有用户和计算机处理,GPO被应用到一个GPO。


在上面的例子,我们希望将此GPO只能处理“营销用户”组的成员。


因此,我们设置GPPermissions的调用添加营销应用组策略(gpoapply)授予访问权限的用户组。


最后,我们新的GPO使用



NEW-GPLink



OU  cantgis.com域


链接


,我们就大功告成了!


我们现在有一个功能齐全,完全无限制的,已经启用的链接GPO。


好了 现在我们去看看我们新设置的GPO吧


打开GPMC

 

Import-Module grouppolicy              
Get-GPO –All       (输出获得GPO)

好了 我们之后 会讲故障排除 关于组策略(

Group Policy Troubleshooting


转载于:https://blog.51cto.com/cantgis/1223446


关闭菜单