在我的工作场所,我们使用应用于域的“仅运行指定的 Windows 应用程序”组策略将可执行文件列入白名单。在某些时候,我们需要一次将大量可执行文件列入白名单(例如打印机或扫描仪)。通过 GUI,您一次只能添加一个可执行文件,是否有其他方法可以一次添加多个可执行文件?我查看了 powershell 组策略命令,这看起来像是一条死路。
任何帮助都将受到赞赏。
答案1
好吧,老的经验法则是每个 GPO 通常都是某个注册表设置。你可能想看看这里:
https://technet.microsoft.com/en-us/library/ee461027.aspx
从部分开始Set-GPRegistryValue。看起来这将是通过 PowerShell 修改 GPO 的主要方法。您可以从具有其中一些软件限制的 GPO 开始,然后使用 cmdletGet-GPRegistryValue进行软件限制的基本设置,然后只需编写一个脚本在需要时向其添加更多内容。我从未使用过这些特定的 cmdlet,但我曾多次使用 GPO 模块来做很多事情,它相当不错。我可能会在某个时候进一步研究它并告诉你。
请记住,GPO 存储在两个地方,一个是 SYSVOL,另一个是 AD 对象。存在版本控制,不建议您直接修改配置文件(显然,上传软件安装的脚本和 msi 文件是另一回事)。