问是否有可能阻止未加密的计算机登录？

EN

AFAIK在AD域连接期间不可能自动检查这一点。但是，一旦计算机加入了域，就可以使用GPO启用比特存贮器。如果每台计算机都具有这些设置，而且除了域计算机之外，其他计算机都无法访问这些资源，则结果将是相同的。

首先，您应该从计算机配置\策略\管理模板\ System \可信平台模块服务将TPM备份打开到AD域服务Enabled。

然后，在“计算机配置\策略”\“管理模板”\“Windows组件”\“比特储物柜驱动器加密”下，您可以找到所有其他相关设置：

• 为组织提供唯一标识符：Enabled
• 固定数据驱动器\
  • 为固定数据驱动器配置密码使用：Enabled
  • 选择BitLocker保护的固定驱动器.：Enabled

• 操作系统驱动器\
  • 在启动时需要额外的身份验证：Enabled；根据需要配置
  • 为启动配置最小PIN长度：Enabled
  • 选择BitLocker保护的固定驱动器.：Enabled

• 可移动数据驱动器\
  • BitLocker在可移动驱动器上的控制使用：Enabled
  • 为可移动数据驱动器配置密码的使用：Enabled
  • 选择BitLocker保护的固定驱动器.：Enabled

请确保在您的环境中填写详细信息并修改此示例。为OU启用此GPO，使计算机被迫使用BitLocker。(请先用一小组测试计算机测试您的配置。这些设置中的一个小错误会导致真正的痛苦，因为所有的数据都会被加密。)

虽然这可能不是你想要的，但我相信官方对这个问题的回答是MBAM -微软的比特储物柜管理和监控。MBAM附带了一堆组策略设置，其中一些设置允许您在任何已加入域的设备上强制使用位存器。当然，这意味着在下载组策略之前，必须先加入域并对域进行身份验证，此时设备的比特锁状态是未知的.但是，在这方面，启动或登录脚本没有什么不同。

没有多少好的选择。在用户登录上下文中运行的任何内容都很可能没有检查BitLocker状态的权限。计算机启动脚本(如以下所示)可能有一些用处：

REM Exclude domain controllers. This command may be repeated to check for "3" to exclude member servers.
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SHUTDOWN /S /F /T 120 /C "Shutting down due to computer does not have BitLocker protection enabled."

可以调整时间，登录后，管理员可以使用shutdown /a命令取消。

如果您不喜欢关闭，可以使用SETX命令在计算机启动脚本中设置一个系统环境变量，在用户登录期间可以检查该变量：

SETX BDE 1 /M
wmic os get producttype | FIND /I "2"
IF %ERRORLEVEL%==0 GOTO :EOF
manage-bde -status | FIND /I "Protection On"
IF %ERRORLEVEL%==0 GOTO :EOF
REM Not protected
SETX BDE 0 /M

和用户登录脚本：

IF %BDE%==0 logoff.exe