Set-ExecutionPolicy

为 Windows 计算机设置 PowerShell 执行策略。

语法

Set-ExecutionPolicy
   [-ExecutionPolicy] <ExecutionPolicy>
   [[-Scope] <ExecutionPolicyScope>]
   [-Force]
   [-WhatIf]
   [-Confirm]
   [<CommonParameters>]

说明

Set-ExecutionPolicy cmdlet 更改 Windows 计算机的 PowerShell 执行策略。 有关更多信息,请参阅 about_Execution_Policies

执行策略是 PowerShell 安全策略的一部分。 执行策略确定是否可以加载配置文件(例如 PowerShell 配置文件)或运行脚本。 此外,脚本在运行之前是否必须进行数字签名。

Set-ExecutionPolicy cmdlet 的默认作用域会影响 LocalMachine使用计算机的每个人。 若要更改其LocalMachine执行策略,请使用 run as 管理员istrator 启动 PowerShell

若要显示每个范围的执行策略,请使用 Get-ExecutionPolicy -List。 若要查看 PowerShell 会话的有效执行策略,请使用不带任何参数的 Get-ExecutionPolicy

示例

示例 1:设置执行策略

此示例演示如何设置本地计算机的执行策略。

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
Get-ExecutionPolicy -List

Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser    RemoteSigned
 LocalMachine    RemoteSigned

Set-ExecutionPolicy cmdlet 使用 ExecutionPolicy 参数指定 RemoteSigned 策略。 Scope 参数指定默认范围值LocalMachine。 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy cmdlet。

示例 2:设置与组策略冲突的执行策略

此命令尝试将 LocalMachine 作用域的执行策略设置为 RestrictedLocalMachine 更严格,但不是有效的策略,因为它与组策略冲突。 策略 Restricted 将写入注册表配置单元 HKEY_LOCAL_MACHINE

PS> Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine

Set-ExecutionPolicy : PowerShell updated your local preference successfully, but the setting is
overridden by the Group Policy applied to your system. Due to the override, your shell will retain
its current effective execution policy of "AllSigned". Contact your Group Policy administrator for
more information. At line:1 char:20 + Set-ExecutionPolicy <<<< restricted

PS> Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\PowerShell\1\ShellIds

    Hive: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds

Name                    Property
----                    --------
Microsoft.PowerShell    Path            : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
                        ExecutionPolicy : Restricted
ScriptedDiagnostics     ExecutionPolicy : Unrestricted

Set-ExecutionPolicy cmdlet 使用 ExecutionPolicy 参数指定 Restricted 策略。 Scope 参数指定默认范围值LocalMachine。 该 Get-ChildItem cmdlet 将 Path 参数与驱动器一起使用 HKLM: 来指定注册表位置。

示例 3:将执行策略从远程计算机应用到本地计算机

此命令从远程计算机获取执行策略对象,并在本地计算机上设置策略。 Get-ExecutionPolicy 沿管道向下发送 Microsoft.PowerShell.ExecutionPolicy 对象。 Set-ExecutionPolicy 接受管道输入,并且不需要 ExecutionPolicy 参数。

Invoke-Command -ComputerName Server01 -ScriptBlock { Get-ExecutionPolicy } | Set-ExecutionPolicy

Invoke-Command cmdlet 在本地计算机上执行,并将 ScriptBlock 发送到远程计算机。 ComputerName 参数指定远程计算机 Server01ScriptBlock 参数在远程计算机上运行 Get-ExecutionPolicyGet-ExecutionPolicy 对象沿管道向下发送到 Set-ExecutionPolicySet-ExecutionPolicy将执行策略应用于本地计算机的默认范围。 LocalMachine

示例 4:设置执行策略的范围

此示例演示如何为指定的范围 CurrentUser设置执行策略。 范围 CurrentUser 仅影响设置此作用域的用户。

Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser
Get-ExecutionPolicy -List

Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       AllSigned
 LocalMachine    RemoteSigned

Set-ExecutionPolicy使用 ExecutionPolicy 参数指定AllSigned策略。 Scope 参数指定 CurrentUser. 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy cmdlet。

用户的有效执行策略变为 AllSigned

示例 5:删除当前用户的执行策略

此示例演示如何使用 Undefined 执行策略删除指定范围的执行策略。

Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
Get-ExecutionPolicy -List

Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       Undefined
  CurrentUser       Undefined
 LocalMachine    RemoteSigned

Set-ExecutionPolicy使用 ExecutionPolicy 参数指定Undefined策略。 Scope 参数指定 CurrentUser. 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy cmdlet。

示例 6:设置当前 PowerShell 会话的执行策略

Process 作用域仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $env:PSExecutionPolicyPreference 中,并在会话关闭时删除。

Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope Process

Scope ExecutionPolicy
        ----- ---------------
MachinePolicy       Undefined
   UserPolicy       Undefined
      Process       AllSigned
  CurrentUser    RemoteSigned
 LocalMachine    RemoteSigned

使用 Set-ExecutionPolicyExecutionPolicy 参数指定 AllSigned 策略。 Scope 参数指定值Process。 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy cmdlet。

示例 7:取消阻止脚本以运行脚本而不更改执行策略

此示例演示如何 RemoteSigned 执行策略阻止你运行未签名的脚本。

最佳做法是读取脚本的代码,并在使用 Unblock-File cmdlet 之前验证其安全。 Unblock-File cmdlet 取消阻止脚本,以便脚本可以运行,但不会更改执行策略。

PS> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine

PS> Get-ExecutionPolicy

RemoteSigned

PS> .\Start-ActivityTracker.ps1

.\Start-ActivityTracker.ps1 : File .\Start-ActivityTracker.ps1 cannot be loaded.
The file .\Start-ActivityTracker.ps1 is not digitally signed.
The script will not execute on the system.
For more information, see about_Execution_Policies at https://go.microsoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ .\Start-ActivityTracker.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo          : NotSpecified: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess

PS> Unblock-File -Path .\Start-ActivityTracker.ps1

PS> Get-ExecutionPolicy

RemoteSigned

PS> .\Start-ActivityTracker.ps1

Task 1:

使用 Set-ExecutionPolicyExecutionPolicy 参数指定 RemoteSigned 策略。 为默认范围 LocalMachine设置策略。

Get-ExecutionPolicy cmdlet 显示 RemoteSigned 当前 PowerShell 会话的有效执行策略。

RemoteSigned Start-ActivityTracker.ps1 script is executed from the current directory. The script is blocked by ',因为脚本未进行数字签名。

对于此示例,脚本的代码已查看并验证为安全运行。 Unblock-File cmdlet 使用 Path 参数取消阻止脚本。

若要验证Unblock-File是否未更改执行策略,Get-ExecutionPolicy请显示有效的执行策略。 RemoteSigned

Start-ActivityTracker.ps1脚本从当前目录执行。 该脚本开始运行,因为它已被 Unblock-File cmdlet 取消阻止。

参数

-Confirm

提示你在运行 cmdlet 之前进行确认。

Type:SwitchParameter
Aliases:cf
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-ExecutionPolicy

指定执行策略。 如果没有组策略,并且每个范围的执行策略都设置为 Undefined,则 Restricted 将成为所有用户的有效策略。

可接受的执行策略值如下所示:

  • AllSigned。 要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。
  • Bypass。 不阻止任何操作,并且没有任何警告或提示。
  • Default。 设置默认执行策略。 Restricted 适用于 Windows 客户端或 RemoteSigned Windows 服务器。
  • RemoteSigned。 要求从 Internet 下载的所有脚本和配置文件都由受信任的发布者签名。 Windows 服务器计算机的默认执行策略。
  • Restricted。 不加载配置文件或运行脚本。 Windows 客户端计算机的默认执行策略。
  • Undefined。 没有为范围设置执行策略。 从组策略未设置的范围中删除分配的执行策略。 如果所有范围内的执行策略为 Undefined,则有效执行策略为 Restricted
  • Unrestricted。 加载所有配置文件并运行所有脚本。 如果运行从 Internet 下载的未签名脚本,则系统将提示你需要权限才能运行该脚本。
Type:ExecutionPolicy
Accepted values:AllSigned, Bypass, Default, RemoteSigned, Restricted, Undefined, Unrestricted
Position:0
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False

-Force

抑制所有确认提示。 请谨慎使用此参数以避免意外结果。

Type:SwitchParameter
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

-Scope

指定受执行策略影响的范围。 默认作用域为 LocalMachine.

有效的执行策略按优先级顺序确定,如下所示:

  • MachinePolicy - 由计算机的所有用户的组策略设置
  • UserPolicy - 由计算机的当前用户的组策略设置
  • Process - 仅影响当前 PowerShell 会话
  • LocalMachine - 影响计算机所有用户的默认范围
  • CurrentUser - 仅影响当前用户

Process 作用域仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $env:PSExecutionPolicyPreference 中,而不是注册表中。 关闭 PowerShell 会话时,将删除变量和值。

作用域 CurrentUser 的执行策略将写入注册表配置单元 HKEY_LOCAL_USER

作用域 LocalMachine 的执行策略将写入注册表配置单元 HKEY_LOCAL_MACHINE

Type:ExecutionPolicyScope
Accepted values:CurrentUser, LocalMachine, MachinePolicy, Process, UserPolicy
Position:1
Default value:LocalMachine
Required:False
Accept pipeline input:True
Accept wildcard characters:False

-WhatIf

显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:False
Required:False
Accept pipeline input:False
Accept wildcard characters:False

输入

ExecutionPolicy

可以通过管道将执行策略对象传递给此 cmdlet。

String

可以通过管道将包含执行策略名称的字符串传递给此 cmdlet。

输出

None

此 cmdlet 不返回任何输出。

备注

Set-ExecutionPolicy 不会更改 MachinePolicyUserPolicy 范围,因为它们是由组策略设置的。

即使用户首选项比策略更严格,Set-ExecutionPolicy 也不会覆盖组策略。

如果为计算机或用户启用了组策略 启用脚本执行 ,则保存用户首选项,但无效。 PowerShell 显示用于说明冲突的消息。