組政策PowerShell子產品
随着Windows 7和Windows Server 2008 R2的釋出,微軟釋出組政策子產品一組25個PowerShell指令,它提供GPO管理者要管理許多相同的任務,他們将執行使用GPMC。
點選這裡會免費得到 GPMC 的API cmdlet
<a href="http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/">http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/</a>
PowerShell子產品時會自動安裝安裝GPMC作為遠端伺服器管理工具(RSAT)安裝,如下面的圖1所示的一部分:
安裝GPMC和相關的PowerShell子產品
<a target="_blank" href="http://blog.51cto.com/attachment/201306/112758793.png"></a>
一旦安裝GPMC,您可以加載簡單地通過組政策子產品打開PowerShell控制台會話和打字的:
1
<code>Import-Module</code> <code>GroupPolicy</code>
為了得到一個子產品中可用的cmdlet清單,隻需鍵入:
<code>PS> </code><code>Get-Command</code> <code>–Module GroupPolicy</code>
組政策子產品涵蓋了以下任務,通常你會GPMC内GUI執行:
建立/删除/重命名/擷取的GPO
備份/還原/複制/導入的GPO
建立/擷取入門GPO
擷取/設定GP繼承
擷取/設定GPO權限
建立/删除/修改GPO連結
GPO設定的RSoP報告
擷取/設定/删除管理模闆設定
擷取/設定/删除GP偏好系統資料庫政策
當然,有一些是不能執行的功能
不能得到SOM或GPO GPO連結*
無法設定WMI,除由GPO(然後隻得到支援)
無法寫入到GPO權限拒絕ACE
無法寫入SOM(例如連結/ RSOP /規劃權限)*
無法讀取清單中現有GPMC GPO備份*
不能讀/寫的GPO設定管理模闆外或首選項系統資料庫政策*
現在 我開始鍵入powershell指令在建立一個新的gpo ,管理子產品政策設定,最後把它連接配接到OU,GPO上
d
$key = HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions'New-GPO 'IE No Help Policy' | Set-GPRegistryValue -Key $key `-ValueName 'NoHelpMenu' -Type DWORD -Value 1 | Set-GPPermissions -Replace `-PermissionLevel None -TargetName 'Authenticated Users' -TargetType group | `Set-GPPermissions -PermissionLevel gpoapply -TargetName 'Marketing Users' `-TargetType group | New-GPLink -Target 'OU=Marketing,DC=catngis,DC=com' –Order 1
解析一下cmdlet指令
第一個cmdlet調用新的GPO,我們建立一個GPO名為“IE沒有幫助的政策”。
下一個cmdlet,稱為set-GPRegistryValue,是一個在我的建立立的GPO設定一個管理模闆政策,你會注意到此cmdlet上的參數設定相關的系統資料庫值的幫助。
模闆政策問題,而不是一個“友好”的路徑,為了使用此cmdlet,你需要知道相關的系統資料庫鍵值特定的幫助。
模闆政策之前,您可以使用此政策設定,我用的系統資料庫項和HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions \NoHelpMenu 對應GP編輯器中的一個路徑下的“管理模闆”
-特别是“Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Turn off displaying the Internet Explorer Help Menu,
确定基本ADMX檔案系統資料庫位置設定政策。
之後我們設定的系統資料庫政策項目,,我們稱為set-GPPermissions 删除身份驗證的使用者ACE GPO的安全。這是預設的ACE,允許所有使用者和計算機處理,GPO被應用到一個GPO。
在上面的例子,我們希望将此GPO隻能處理“營銷使用者”組的成員。是以,我們設定GPPermissions的調用添加營銷應用組政策(gpoapply)授予通路權限的使用者組。
最後,我們新的GPO使用NEW-GPLink OU cantgis.com域連結,我們就大功告成了!我們現在有一個功能齊全,完全無限制的,已經啟用的連結GPO。
好了 現在我們去看看我們新設定的GPO吧
打開GPMC
2
<code>Import-Module</code> <code>grouppolicy </code>
<code>Get-GPO</code> <code>–All (輸出獲得GPO)</code>
好了 我們之後 會講故障排除 關于組政策(Group Policy Troubleshooting)
本文轉自cantgis 51CTO部落格,原文連結:http://blog.51cto.com/cantgis/1223446,如需轉載請自行聯系原作者
![與專家面對面:Android開發入門問與答[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)