是否有可能停止不是Bitlockerencryptionlogin的计算机？

AFAIK在AD域join期间不可能自动检查这个。 但是，只要计算机join域，就可以使用GPO启用BitLocker。 如果每台计算机都具有这些设置，并且没有其他域计算机可以访问资源，则结果将是相同的。

首先，您应该从计算机configuration \ 策略 \ pipe理模板 \ 系统 \ 可信平台模块服务 Enabled TPM备份到AD域 服务 。

然后，在“ 计算机configuration \ 策略 \ pipe理模板 \ Windows组件 \ Bitlocker驱动器encryption”下 ，可以find所有其他相关设置：

• 为您的组织提供唯一标识符 ：已Enabled
• \ 固定数据驱动器 \
  • configuration固定数据驱动器密码的使用 ：已Enabled
  • select受BitLocker保护的固定驱动器… ：已Enabled
• \ 操作系统驱动器 \
  • 启动时需要额外的authentication ： Enabled ; 根据需要configuration
  • configuration启动的最小PIN码长度 ：已Enabled
  • select受BitLocker保护的固定驱动器… ：已Enabled
• \ 可移动数据驱动器 \
  • 控制在可移动驱动器上使用BitLocker ：已Enabled
  • configuration使用可移动数据驱动器的密码 ：已Enabled
  • select受BitLocker保护的固定驱动器… ：已Enabled

请确保填写详细信息并根据您的环境中的要求修改此示例。 启用此GPO的计算机被迫使用BitLocker的OU。 （请先用一小组testing计算机testing你的configuration，这些设置中的一个小错误会导致真正的痛苦，因为所有的数据都会被encryption。）

虽然这可能不是你所要求的，但我相信这个问题的正式答案是MBAM – Microsoft Bitlocker Administration and Monitoring。 MBAM附带了一些组策略设置，其中一些设置允许您在任何join域的设备上强制使用Bitlocker。 但是，这当然意味着join域的设备必须在下载组策略之前首先join域并join域，然后设备的BitLocker状态是未知的……但启动或login脚本在这方面。

没有太多好的select。 在用户login的上下文中运行的任何内容都可能无权检查BitLocker状态。 下面的计算机启动脚本可能有一些用处：

 REM Exclude domain controllers. This command may be repeated to check for "3" to exclude member servers. wmic os get producttype | FIND /I "2" IF %ERRORLEVEL%==0 GOTO :EOF manage-bde -status | FIND /I "Protection On" IF %ERRORLEVEL%==0 GOTO :EOF REM Not protected SHUTDOWN /S /F /T 120 /C "Shutting down due to computer does not have BitLocker protection enabled." 

时间可以调整，login后pipe理员可以用shutdown /a命令取消。

如果您不想closures，可以使用SETX命令在计算机启动脚本中设置一个系统环境variables，该脚本可以在用户login过程中进行检查：

 SETX BDE 1 /M wmic os get producttype | FIND /I "2" IF %ERRORLEVEL%==0 GOTO :EOF manage-bde -status | FIND /I "Protection On" IF %ERRORLEVEL%==0 GOTO :EOF REM Not protected SETX BDE 0 /M 

和用户login脚本：

 IF %BDE%==0 logoff.exe