Set-ExecutionPolicy
设置 Windows 计算机的 PowerShell 执行策略。
语法
Set-ExecutionPolicy
[-ExecutionPolicy] <ExecutionPolicy>
[[-Scope] <ExecutionPolicyScope>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>] 说明
Set-ExecutionPolicy cmdlet 更改 Windows 计算机的 PowerShell 执行策略。 有关详细信息,请参阅 about_Execution_Policies。
执行策略是 PowerShell 安全策略的一部分。 执行策略确定是否可以加载配置文件(例如 PowerShell 配置文件)或运行脚本。 而且,脚本在运行之前是否必须进行数字签名。
Set-ExecutionPolicy cmdlet 的默认作用域是 LocalMachine,这会影响使用计算机的每个人。 若要更改 LocalMachine的执行策略,请启动 PowerShell,以管理员身份运行。
若要显示每个范围的执行策略,请使用 Get-ExecutionPolicy -List。 若要查看 PowerShell 会话的有效执行策略,请使用没有参数 Get-ExecutionPolicy。
示例
示例 1:设置执行策略
此示例演示如何设置本地计算机的执行策略。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine RemoteSigned
Set-ExecutionPolicy cmdlet 使用 ExecutionPolicy 参数来指定 RemoteSigned 策略。
Scope 参数指定默认范围值,LocalMachine。 若要查看执行策略设置,请使用 Get-ExecutionPolicy cmdlet 和 List 参数。
示例 2:设置与组策略冲突的执行策略
此命令尝试将 LocalMachine 范围的执行策略设置为 Restricted。
LocalMachine 更严格,但不是有效的策略,因为它与组策略冲突。
Restricted 策略将写入注册表配置单元 HKEY_LOCAL_MACHINE。
PS> Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine
Set-ExecutionPolicy : PowerShell updated your local preference successfully, but the setting is
overridden by the Group Policy applied to your system. Due to the override, your shell will retain
its current effective execution policy of "AllSigned". Contact your Group Policy administrator for
more information. At line:1 char:20 + Set-ExecutionPolicy <<<< restricted
PS> Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\PowerShell\1\ShellIds
Hive: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds
Name Property
---- --------
Microsoft.PowerShell Path : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
ExecutionPolicy : Restricted
ScriptedDiagnostics ExecutionPolicy : Unrestricted
Set-ExecutionPolicy cmdlet 使用 ExecutionPolicy 参数来指定 Restricted 策略。
Scope 参数指定默认范围值,LocalMachine。
Get-ChildItem cmdlet 将 Path 参数与 HKLM: 驱动器配合使用来指定注册表位置。
示例 3:将执行策略从远程计算机应用到本地计算机
此命令从远程计算机获取执行策略对象,并在本地计算机上设置策略。
Get-ExecutionPolicy 将 Microsoft.PowerShell.ExecutionPolicy 对象向下发送管道。
Set-ExecutionPolicy 接受管道输入,并且不需要 ExecutionPolicy 参数。
Invoke-Command -ComputerName Server01 -ScriptBlock { Get-ExecutionPolicy } | Set-ExecutionPolicy
Invoke-Command cmdlet 在本地计算机上执行,并将 ScriptBlock 发送到远程计算机。
ComputerName 参数指定远程计算机,Server01。
ScriptBlock 参数在远程计算机上运行 Get-ExecutionPolicy。
Get-ExecutionPolicy 对象将管道向下发送到 Set-ExecutionPolicy。
Set-ExecutionPolicy 将执行策略应用于本地计算机的默认范围,LocalMachine。
示例 4:设置执行策略的范围
此示例演示如何为指定范围 CurrentUser设置执行策略。
CurrentUser 范围仅影响设置此作用域的用户。
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser AllSigned
LocalMachine RemoteSigned
Set-ExecutionPolicy 使用 ExecutionPolicy 参数来指定 AllSigned 策略。
Scope 参数指定 CurrentUser。 若要查看执行策略设置,请使用 Get-ExecutionPolicy cmdlet 和 List 参数。
用户的有效执行策略将成为 AllSigned。
示例 5:删除当前用户的执行策略
此示例演示如何使用 Undefined 执行策略删除指定范围的执行策略。
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned
Set-ExecutionPolicy 使用 ExecutionPolicy 参数来指定 Undefined 策略。
Scope 参数指定 CurrentUser。 若要查看执行策略设置,请使用 Get-ExecutionPolicy cmdlet 和 List 参数。
示例 6:设置当前 PowerShell 会话的执行策略
Process 范围仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $Env:PSExecutionPolicyPreference 中,并在会话关闭时删除。
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope Process
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process AllSigned
CurrentUser RemoteSigned
LocalMachine RemoteSigned
Set-ExecutionPolicy 使用 ExecutionPolicy 参数来指定 AllSigned 策略。
Scope 参数指定值 Process。 若要查看执行策略设置,请使用 Get-ExecutionPolicy cmdlet 和 List 参数。
示例 7:取消阻止脚本以运行脚本而不更改执行策略
此示例演示如何 RemoteSigned 执行策略阻止你运行未签名的脚本。
最佳做法是读取脚本的代码,并在使用 cmdlet Unblock-File。
Unblock-File cmdlet 取消阻止脚本,以便脚本可以运行,但不会更改执行策略。
PS> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
PS> Get-ExecutionPolicy
RemoteSigned
PS> .\Start-ActivityTracker.ps1
.\Start-ActivityTracker.ps1 : File .\Start-ActivityTracker.ps1 cannot be loaded.
The file .\Start-ActivityTracker.ps1 is not digitally signed.
The script will not execute on the system.
For more information, see about_Execution_Policies at https://go.microsoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ .\Start-ActivityTracker.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
PS> Unblock-File -Path .\Start-ActivityTracker.ps1
PS> Get-ExecutionPolicy
RemoteSigned
PS> .\Start-ActivityTracker.ps1
Task 1:
Set-ExecutionPolicy 使用 ExecutionPolicy 参数来指定 RemoteSigned 策略。 策略设置为默认范围,LocalMachine。
Get-ExecutionPolicy cmdlet 显示 RemoteSigned 是当前 PowerShell 会话的有效执行策略。
Start-ActivityTracker.ps1 script is executed from the current directory. The script is blocked by RemoteSigned',因为脚本未进行数字签名。
对于此示例,脚本的代码已查看并验证为安全运行。
Unblock-File cmdlet 使用 Path 参数取消阻止脚本。
若要验证 Unblock-File 未更改执行策略,Get-ExecutionPolicy 显示有效的执行策略,RemoteSigned。
脚本,Start-ActivityTracker.ps1 从当前目录执行。 该脚本开始运行,因为它已被 Unblock-File cmdlet 取消阻止。
参数
-Confirm
在运行 cmdlet 之前,提示你进行确认。
| 类型: | SwitchParameter |
| 别名: | cf |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-ExecutionPolicy
指定执行策略。 如果没有组策略,并且每个范围的执行策略都设置为 Undefined,则 Restricted 成为所有用户的有效策略。
可接受的执行策略值如下所示:
-
AllSigned。 要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。 -
Bypass。 不会阻止任何内容,也没有警告或提示。 -
Default。 设置默认执行策略。 适用于 Windows 客户端的Restricted或 Windows 服务器的RemoteSigned。 -
RemoteSigned。 要求从 Internet 下载的所有脚本和配置文件都由受信任的发布者签名。 Windows 服务器计算机的默认执行策略。 -
Restricted。 不加载配置文件或运行脚本。 Windows 客户端计算机的默认执行策略。 -
Undefined。 没有为范围设置执行策略。 从组策略未设置的范围中删除分配的执行策略。 如果所有范围内的执行策略都Undefined,则有效执行策略Restricted。 -
Unrestricted。 加载所有配置文件并运行所有脚本。 如果运行从 Internet 下载的未签名脚本,则会在运行之前提示你获得权限。
| 类型: | ExecutionPolicy |
| 接受的值: | AllSigned, Bypass, Default, RemoteSigned, Restricted, Undefined, Unrestricted |
| Position: | 0 |
| 默认值: | None |
| 必需: | True |
| 接受管道输入: | True |
| 接受通配符: | False |
-Force
取消所有确认提示。 请谨慎使用此参数以避免意外结果。
| 类型: | SwitchParameter |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
-Scope
指定受执行策略影响的作用域。 默认作用域为 LocalMachine。
有效的执行策略按优先级顺序确定,如下所示:
-
MachinePolicy- 由计算机的所有用户的组策略设置 -
UserPolicy- 由计算机的当前用户的组策略设置 -
Process- 仅影响当前 PowerShell 会话 -
LocalMachine- 影响计算机所有用户的默认范围 -
CurrentUser- 仅影响当前用户
Process 范围仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $Env:PSExecutionPolicyPreference而不是注册表中。 关闭 PowerShell 会话后,将删除变量和值。
CurrentUser 范围的执行策略将写入注册表配置单元 HKEY_LOCAL_USER。
LocalMachine 范围的执行策略将写入注册表配置单元 HKEY_LOCAL_MACHINE。
| 类型: | ExecutionPolicyScope |
| 接受的值: | CurrentUser, LocalMachine, MachinePolicy, Process, UserPolicy |
| Position: | 1 |
| 默认值: | LocalMachine |
| 必需: | False |
| 接受管道输入: | True |
| 接受通配符: | False |
-WhatIf
显示 cmdlet 运行时会发生什么情况。 cmdlet 未运行。
| 类型: | SwitchParameter |
| 别名: | wi |
| Position: | Named |
| 默认值: | False |
| 必需: | False |
| 接受管道输入: | False |
| 接受通配符: | False |
输入
可以通过管道将执行策略对象传递给此 cmdlet。
可以通过管道将包含执行策略名称的字符串传递给此 cmdlet。
输出
None
此 cmdlet 不返回任何输出。
备注
Set-ExecutionPolicy 不会更改 MachinePolicy 和 UserPolicy 范围,因为它们是由组策略设置的。
即使用户首选项比策略更严格,Set-ExecutionPolicy 也不会覆盖组策略。
如果组策略 为计算机或用户启用脚本执行,则会保存用户首选项,但它无效。 PowerShell 显示说明冲突的消息。
