04 使用PowerShell管理組策略01

組策略PowerShell模塊

隨着Windows 7和Windows Server 2008 R2的發佈，微軟發佈組策略模塊一組25個PowerShell命令，它提供GPO管理員要管理許多相同的任務，他們將執行使用GPMC。

點擊這裏會免費獲得 GPMC 的API  cmdlet
http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/

PowerShell模塊時會自動安裝安裝GPMC做爲遠程服務器管理工具（RSAT）安裝，以下面的圖1所示的一部分：

安裝GPMC和相關的PowerShell模塊

一旦安裝GPMC，您能夠加載簡單地經過組策略模塊打開PowerShell控制檯會話和打字的：

Import-Module GroupPolicy

爲了獲得一個模塊中可用的cmdlet列表，只需鍵入：

PS> Get-Command –Module GroupPolicy

組策略模塊涵蓋了如下任務，一般你會GPMC內GUI執行：

• 建立/刪除/重命名/獲取的GPO

• 備份/還原/複製/導入的GPO

• 建立/獲取入門GPO

• 獲取/設置GP繼承

• 獲取/設置GPO權限

• 建立/刪除/修改GPO連接

• GPO設置的RSoP報告

• 獲取/設置/刪除管理模板設置

• 獲取/設置/刪除GP偏好註冊表政策

固然，有一些是不能執行的功能

• 不能獲得SOM或GPO GPO連接*

• 沒法設置WMI，除由GPO（而後只獲得支持）

• 沒法寫入到GPO權限拒絕ACE

• 沒法寫入SOM（例如連接/ RSOP /規劃權限）*

• 沒法讀取列表中現有GPMC GPO備份*

• 不能讀/寫的GPO設置管理模板外或首選項註冊表策略*

如今 我開始鍵入powershell指令在建立一個新的gpo ，管理模塊策略設置，最後把它鏈接到OU，GPO上
d

$key = HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions'New-GPO 'IE No Help Policy' | Set-GPRegistryValue -Key $key `-ValueName 'NoHelpMenu' -Type DWORD -Value 1 | Set-GPPermissions -Replace `-PermissionLevel None -TargetName 'Authenticated Users' -TargetType group | `Set-GPPermissions -PermissionLevel gpoapply -TargetName 'Marketing Users' `-TargetType group | New-GPLink -Target 'OU=Marketing,DC=catngis,DC=com' –Order 1

解析一下cmdlet指令

第一個cmdlet調用新的GPO，咱們建立一個GPO名爲「IE沒有幫助的策略」。

下一個cmdlet，稱爲set-GPRegistryValue，是一個在個人新創建的GPO設置一個管理模板策略，你會注意到此cmdlet上的參數設置相關的註冊表值的幫助。

模板策略問題，而不是一個「友好」的路徑，爲了使用此cmdlet，你須要知道相關的註冊表鍵值特定的幫助。

模板策略以前，您可使用此策略設置，我用的註冊表項和HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions \NoHelpMenu 對應GP編輯器中的一個路徑下的「管理模板」

-特別是「Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Turn off displaying the Internet Explorer Help Menu，
肯定基本ADMX文件註冊表位置設置策略。

以後咱們設置的註冊表策略項目，，咱們稱爲set-GPPermissions 刪除身份驗證的用戶ACE GPO的安全。這是默認的ACE，容許全部用戶和計算機處理，GPO被應用到一個GPO。

在上面的例子，咱們但願將此GPO只能處理「營銷用戶」組的成員。所以，咱們設置GPPermissions的調用添加營銷應用組策略（gpoapply）授予訪問權限的用戶組。

最後，咱們新的GPO使用NEW-GPLink OU  cantgis.com域連接，咱們就大功告成了！咱們如今有一個功能齊全，徹底無限制的，已經啓用的連接GPO。

好了 如今咱們去看看咱們新設置的GPO吧

打開GPMC

Import-Module grouppolicy              
Get-GPO –All       (輸出得到GPO)

好了 咱們以後 會講故障排除 關於組策略（Group Policy Troubleshooting）