04 使用PowerShell管理组策略01-Cantgis

chriszg

组策略PowerShell模块
　　随着Windows 7和Windows Server 2008 R2的发布，微软发布组策略模块一组25个PowerShell命令，它提供GPO管理员要管理许多相同的任务，他们将执行使用GPMC。
　　点击这里会免费得到 GPMC 的API  cmdlet
　　http://sdmsoftware.com/group-policy-management-products/freeware-group-policy-tools-utilities/
　　PowerShell模块时会自动安装安装GPMC作为远程服务器管理工具（RSAT）安装，如下面的图1所示的一部分：
　　安装GPMC和相关的PowerShell模块

　　一旦安装GPMC，您可以加载简单地通过组策略模块打开PowerShell控制台会话和打字的：
Import-Module GroupPolicy　　为了得到一个模块中可用的cmdlet列表，只需键入：
PS> Get-Command –Module GroupPolicy　　组策略模块涵盖了以下任务，通常你会GPMC内GUI执行：

• 　　创建/删除/重命名/获取的GPO
  
• 　　备份/还原/复制/导入的GPO
  
• 　　创建/获取入门GPO
  
• 　　获取/设置GP继承
  
• 　　获取/设置GPO权限
  
• 　　创建/删除/修改GPO链接
  
• 　　GPO设置的RSoP报告
  
• 　　获取/设置/删除管理模板设置
  
• 　　获取/设置/删除GP偏好注册表政策
  

　　当然，有一些是不能执行的功能

• 　　不能得到SOM或GPO GPO链接*
  
• 　　无法设置WMI，除由GPO（然后只得到支持）
  
• 　　无法写入到GPO权限拒绝ACE
  
• 　　无法写入SOM（例如链接/ RSOP /规划权限）*
  
• 　　无法读取列表中现有GPMC GPO备份*
  
• 　　不能读/写的GPO设置管理模板外或首选项注册表策略*
  

　　现在 我开始键入powershell指令在创建一个新的gpo ，管理模块策略设置，最后把它连接到OU，GPO上
　　d
　　$key = HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions'New-GPO 'IE No Help Policy' | Set-GPRegistryValue -Key $key `-ValueName 'NoHelpMenu' -Type DWORD -Value 1 | Set-GPPermissions -Replace `-PermissionLevel None -TargetName 'Authenticated Users' -TargetType group | `Set-GPPermissions -PermissionLevel gpoapply -TargetName 'Marketing Users' `-TargetType group | New-GPLink -Target 'OU=Marketing,DC=catngis,DC=com' –Order 1
　　解析一下cmdlet指令
　　第一个cmdlet调用新的GPO，我们创建一个GPO名为“IE没有帮助的策略”。
　　下一个cmdlet，称为set-GPRegistryValue，是一个在我的新建立的GPO设置一个管理模板策略，你会注意到此cmdlet上的参数设置相关的注册表值的帮助。
　　模板策略问题，而不是一个“友好”的路径，为了使用此cmdlet，你需要知道相关的注册表键值特定的帮助。
　　模板策略之前，您可以使用此策略设置，我用的注册表项和HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions \NoHelpMenu 对应GP编辑器中的一个路径下的“管理模板”
　　-特别是“Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Turn off displaying the Internet Explorer Help Menu，
　　确定基本ADMX文件注册表位置设置策略。
　　之后我们设置的注册表策略项目，，我们称为set-GPPermissions 删除身份验证的用户ACE GPO的安全。这是默认的ACE，允许所有用户和计算机处理，GPO被应用到一个GPO。
　　在上面的例子，我们希望将此GPO只能处理“营销用户”组的成员。因此，我们设置GPPermissions的调用添加营销应用组策略（gpoapply）授予访问权限的用户组。
　　最后，我们新的GPO使用NEW-GPLink OU  cantgis.com域链接，我们就大功告成了！我们现在有一个功能齐全，完全无限制的，已经启用的链接GPO。
　　好了 现在我们去看看我们新设置的GPO吧
　　打开GPMC
Import-Module grouppolicy　　
Get-GPO –All       (输出获得GPO)
　　好了 我们之后 会讲故障排除 关于组策略（Group Policy Troubleshooting）