Set-ExecutionPolicy
为 Windows 计算机设置 PowerShell 执行策略。
语法
Set-ExecutionPolicy
[-ExecutionPolicy] <ExecutionPolicy>
[[-Scope] <ExecutionPolicyScope>]
[-Force]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
说明
Set-ExecutionPolicy
cmdlet 更改 Windows 计算机的 PowerShell 执行策略。 有关更多信息,请参阅 about_Execution_Policies。
执行策略是 PowerShell 安全策略的一部分。 执行策略确定是否可以加载配置文件(例如 PowerShell 配置文件)或运行脚本。 此外,脚本在运行之前是否必须进行数字签名。
该 Set-ExecutionPolicy
cmdlet 的默认作用域会影响 LocalMachine
使用计算机的每个人。 若要更改其LocalMachine
执行策略,请使用 run as 管理员istrator 启动 PowerShell。
若要显示每个范围的执行策略,请使用 Get-ExecutionPolicy -List
。 若要查看 PowerShell 会话的有效执行策略,请使用不带任何参数的 Get-ExecutionPolicy
。
示例
示例 1:设置执行策略
此示例演示如何设置本地计算机的执行策略。
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser RemoteSigned
LocalMachine RemoteSigned
该 Set-ExecutionPolicy
cmdlet 使用 ExecutionPolicy 参数指定 RemoteSigned
策略。 Scope 参数指定默认范围值LocalMachine
。 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy
cmdlet。
示例 2:设置与组策略冲突的执行策略
此命令尝试将 LocalMachine
作用域的执行策略设置为 Restricted
。
LocalMachine
更严格,但不是有效的策略,因为它与组策略冲突。 策略 Restricted
将写入注册表配置单元 HKEY_LOCAL_MACHINE
。
PS> Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachine
Set-ExecutionPolicy : PowerShell updated your local preference successfully, but the setting is
overridden by the Group Policy applied to your system. Due to the override, your shell will retain
its current effective execution policy of "AllSigned". Contact your Group Policy administrator for
more information. At line:1 char:20 + Set-ExecutionPolicy <<<< restricted
PS> Get-ChildItem -Path HKLM:\SOFTWARE\Microsoft\PowerShell\1\ShellIds
Hive: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PowerShell\1\ShellIds
Name Property
---- --------
Microsoft.PowerShell Path : C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
ExecutionPolicy : Restricted
ScriptedDiagnostics ExecutionPolicy : Unrestricted
该 Set-ExecutionPolicy
cmdlet 使用 ExecutionPolicy 参数指定 Restricted
策略。 Scope 参数指定默认范围值LocalMachine
。 该 Get-ChildItem
cmdlet 将 Path 参数与驱动器一起使用 HKLM:
来指定注册表位置。
示例 3:将执行策略从远程计算机应用到本地计算机
此命令从远程计算机获取执行策略对象,并在本地计算机上设置策略。 Get-ExecutionPolicy
沿管道向下发送 Microsoft.PowerShell.ExecutionPolicy 对象。 Set-ExecutionPolicy
接受管道输入,并且不需要 ExecutionPolicy 参数。
Invoke-Command -ComputerName Server01 -ScriptBlock { Get-ExecutionPolicy } | Set-ExecutionPolicy
Invoke-Command
cmdlet 在本地计算机上执行,并将 ScriptBlock 发送到远程计算机。 ComputerName 参数指定远程计算机 Server01。 ScriptBlock 参数在远程计算机上运行 Get-ExecutionPolicy
。 Get-ExecutionPolicy
对象沿管道向下发送到 Set-ExecutionPolicy
。
Set-ExecutionPolicy
将执行策略应用于本地计算机的默认范围。 LocalMachine
示例 4:设置执行策略的范围
此示例演示如何为指定的范围 CurrentUser
设置执行策略。 范围 CurrentUser
仅影响设置此作用域的用户。
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope CurrentUser
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser AllSigned
LocalMachine RemoteSigned
Set-ExecutionPolicy
使用 ExecutionPolicy 参数指定AllSigned
策略。
Scope 参数指定 CurrentUser
. 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy
cmdlet。
用户的有效执行策略变为 AllSigned
。
示例 5:删除当前用户的执行策略
此示例演示如何使用 Undefined
执行策略删除指定范围的执行策略。
Set-ExecutionPolicy -ExecutionPolicy Undefined -Scope CurrentUser
Get-ExecutionPolicy -List
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process Undefined
CurrentUser Undefined
LocalMachine RemoteSigned
Set-ExecutionPolicy
使用 ExecutionPolicy 参数指定Undefined
策略。 Scope 参数指定 CurrentUser
. 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy
cmdlet。
示例 6:设置当前 PowerShell 会话的执行策略
Process
作用域仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $env:PSExecutionPolicyPreference
中,并在会话关闭时删除。
Set-ExecutionPolicy -ExecutionPolicy AllSigned -Scope Process
Scope ExecutionPolicy
----- ---------------
MachinePolicy Undefined
UserPolicy Undefined
Process AllSigned
CurrentUser RemoteSigned
LocalMachine RemoteSigned
使用 Set-ExecutionPolicy
ExecutionPolicy 参数指定 AllSigned
策略。 Scope 参数指定值Process
。 若要查看执行策略设置,请使用具有 List 参数的 Get-ExecutionPolicy
cmdlet。
示例 7:取消阻止脚本以运行脚本而不更改执行策略
此示例演示如何 RemoteSigned
执行策略阻止你运行未签名的脚本。
最佳做法是读取脚本的代码,并在使用 Unblock-File
cmdlet 之前验证其安全。 Unblock-File
cmdlet 取消阻止脚本,以便脚本可以运行,但不会更改执行策略。
PS> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope LocalMachine
PS> Get-ExecutionPolicy
RemoteSigned
PS> .\Start-ActivityTracker.ps1
.\Start-ActivityTracker.ps1 : File .\Start-ActivityTracker.ps1 cannot be loaded.
The file .\Start-ActivityTracker.ps1 is not digitally signed.
The script will not execute on the system.
For more information, see about_Execution_Policies at https://go.microsoft.com/fwlink/?LinkID=135170.
At line:1 char:1
+ .\Start-ActivityTracker.ps1
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [], PSSecurityException
+ FullyQualifiedErrorId : UnauthorizedAccess
PS> Unblock-File -Path .\Start-ActivityTracker.ps1
PS> Get-ExecutionPolicy
RemoteSigned
PS> .\Start-ActivityTracker.ps1
Task 1:
使用 Set-ExecutionPolicy
ExecutionPolicy 参数指定 RemoteSigned
策略。 为默认范围 LocalMachine
设置策略。
该 Get-ExecutionPolicy
cmdlet 显示 RemoteSigned
当前 PowerShell 会话的有效执行策略。
RemoteSigned Start-ActivityTracker.ps1 script is executed from the current directory. The script is blocked by
',因为脚本未进行数字签名。
对于此示例,脚本的代码已查看并验证为安全运行。 Unblock-File
cmdlet 使用 Path 参数取消阻止脚本。
若要验证Unblock-File
是否未更改执行策略,Get-ExecutionPolicy
请显示有效的执行策略。 RemoteSigned
Start-ActivityTracker.ps1
脚本从当前目录执行。 该脚本开始运行,因为它已被 Unblock-File
cmdlet 取消阻止。
参数
-Confirm
提示你在运行 cmdlet 之前进行确认。
Type: | SwitchParameter |
Aliases: | cf |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-ExecutionPolicy
指定执行策略。 如果没有组策略,并且每个范围的执行策略都设置为 Undefined
,则 Restricted
将成为所有用户的有效策略。
可接受的执行策略值如下所示:
AllSigned
。 要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。Bypass
。 不阻止任何操作,并且没有任何警告或提示。Default
。 设置默认执行策略。Restricted
适用于 Windows 客户端或RemoteSigned
Windows 服务器。RemoteSigned
。 要求从 Internet 下载的所有脚本和配置文件都由受信任的发布者签名。 Windows 服务器计算机的默认执行策略。Restricted
。 不加载配置文件或运行脚本。 Windows 客户端计算机的默认执行策略。Undefined
。 没有为范围设置执行策略。 从组策略未设置的范围中删除分配的执行策略。 如果所有范围内的执行策略为Undefined
,则有效执行策略为Restricted
。Unrestricted
。 加载所有配置文件并运行所有脚本。 如果运行从 Internet 下载的未签名脚本,则系统将提示你需要权限才能运行该脚本。
Type: | ExecutionPolicy |
Accepted values: | AllSigned, Bypass, Default, RemoteSigned, Restricted, Undefined, Unrestricted |
Position: | 0 |
Default value: | None |
Required: | True |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-Force
抑制所有确认提示。 请谨慎使用此参数以避免意外结果。
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Scope
指定受执行策略影响的范围。 默认作用域为 LocalMachine
.
有效的执行策略按优先级顺序确定,如下所示:
MachinePolicy
- 由计算机的所有用户的组策略设置UserPolicy
- 由计算机的当前用户的组策略设置Process
- 仅影响当前 PowerShell 会话LocalMachine
- 影响计算机所有用户的默认范围CurrentUser
- 仅影响当前用户
Process
作用域仅影响当前的 PowerShell 会话。 执行策略保存在环境变量 $env:PSExecutionPolicyPreference
中,而不是注册表中。 关闭 PowerShell 会话时,将删除变量和值。
作用域 CurrentUser
的执行策略将写入注册表配置单元 HKEY_LOCAL_USER
。
作用域 LocalMachine
的执行策略将写入注册表配置单元 HKEY_LOCAL_MACHINE
。
Type: | ExecutionPolicyScope |
Accepted values: | CurrentUser, LocalMachine, MachinePolicy, Process, UserPolicy |
Position: | 1 |
Default value: | LocalMachine |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
-WhatIf
显示运行该 cmdlet 时会发生什么情况。 cmdlet 未运行。
Type: | SwitchParameter |
Aliases: | wi |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
输入
可以通过管道将执行策略对象传递给此 cmdlet。
可以通过管道将包含执行策略名称的字符串传递给此 cmdlet。
输出
None
此 cmdlet 不返回任何输出。
备注
Set-ExecutionPolicy
不会更改 MachinePolicy
和 UserPolicy
范围,因为它们是由组策略设置的。
即使用户首选项比策略更严格,Set-ExecutionPolicy
也不会覆盖组策略。
如果为计算机或用户启用了组策略 启用脚本执行 ,则保存用户首选项,但无效。 PowerShell 显示用于说明冲突的消息。