近日遇到電腦 Join Domain 重開機後,結束 Windows Mark 的 Loading 階段後就畫面全黑也沒有顯示滑鼠游標更沒有顯示帳號登入畫面的慘烈情況。這個問題在全新安裝的 Windows 11 發生,如果是滿久之前安裝的電腦即使有安裝到最新的 Update / Hotfix 也沒有這個問題。
在連續重灌、加入網域都相同情況後,為了確認是否為 GPO 影響,將 Computer Account 搬移至一個測試用的空 OU,並將 GPO 逐次套用到該 OU 中用以確認是否是哪一個 GPO 影響。在這個測試過程中,因為無法有規律地複製出錯誤,於是決定開始在 Join Domain 後不立刻重新開機,而是執行 gpresult /r /scope computer 來看情況,並下 gpupdate /force 來確認有套用到 GPO,但卻偶然會開始在執行指令後出現: This program is blocked by Group Policy. For more info, contact your System Administrator. 的訊息,並且再也無法開啟任何應用程式,包含: cmd、notepad 等,任何應用程式。但問題此訊息似乎與套用到哪一個或哪些 GPO 無關。
根據上述症狀經過一些搜尋查找,在這篇文章中提到了 All devices running Windows 11 22H2 or later come with the Smart App Control option. Smart App Control (SAC) is a Windows Security feature that helps protect you against malicious apps. 並且在 Registry 中的 Computer > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > CI > Policy 有一個 DWORD 值 "VerifiedAndReputablePolicyState" 是關鍵。
在微軟的文章中提到: Smart App Control is automatically turned off for enterprise managed devices unless the user has turned it on first. 但是,即使預設值是 2: Evaluation,也會在 Join Domain 後變成無法執行任何應用程式。在已經發生上述「This program is blocked......」情況下的電腦將此機碼改為 0 並重開機後 (先開啟 Registry Editor,再 Join Domain,等幾分鐘後出現上述狀況後,再至已經開啟的 Registry Editor 中變更此機碼,而後重開機),一開始還出現了一次「This program is blocked......」情況,但接著就能正常顯示帳號登入畫面且能正常使用了 (並沒有執行微軟文章中提到的 CiTool.exe -r)。
我在很久之前安裝的 Windows 11 註冊機碼中也有找到此機碼,值為0。Windows 10 及其以下版本中則沒有看到此機碼。因此設置了一個 GPO 用 WMI Filter 派送給 Windows 11 這個註冊機碼,後續再有安裝 Windows 11 並加入網域的應該就不會再出現此問題了......吧 (?
對於這個新功能的相關資訊我尚未研究,但這種智障行為應該將微軟拉出去槍斃三分鐘。
沒有留言:
張貼留言