公司有兩台DC,DC1(掌握五大角色)裝在A伺服器的Hyper-V,DC2裝在實體的主機,
DC1、DC2、A伺服器作業系統都是Windows Server 2016,DC1、DC2都有一個問題,
就是「設定」打不開,會出現一個視窗馬上閃退,頂多顯示齒輪圖示,不知道以前的IT做了什麼設定導致還是有什麼問題。
原本規劃安裝一臺Windows Server 2022(下稱DC3),升成DC後,把五大角色搶過來。
於是安裝完DC3,Windows Update也更新到最新之後,
架了一個隔離環境測試,將DC1備份還原,只跟DC3連線,沒有連到其他主機或網路,
奇怪的是當DC3加入網域→升成網域控制站後,「設定」也變得打不開了。
但又希望能將DC的設定修好,不然Windows Update無法正常使用
查了一些資料,檢查及測試結果如下:
Default Domain Controllers Policy
使用者帳戶控制: 所有系統管理員均以管理員核准模式執行
使用者帳戶控制: 內建的 Administrator 帳戶的管理員核准模式
皆改為已啟用
Get-ItemPropertyValue -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA"
回傳值為1
原本是網域管理員administrator登入,創立新的網域管理員帳號登入,設定還是打不開
兩臺DC點擊「設定」讓它閃退,在事件檢視器→Windows 紀錄→應用程式,會新增Event ID 5973的錯誤紀錄,內容:
應用程式 windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel 的啟用失敗,錯誤為: 應用程式未啟動。 如需詳細資訊,請參閱 Microsoft-Windows-TWinUI/Operational 記錄檔。
而在Microsoft-Windows-TWinUI/Operational中,會增加三個錯誤事件,分別是5990,5961,5985,如下
5990
針對 Windows.Launch 協定透過應用程式 windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel 的協定協助程式進行啟用失敗,狀態為 伺服器執行失敗。
5961
針對 Windows.Launch 協定啟用應用程式 windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel 的動作失敗,錯誤為: 應用程式未啟動。
5985
Windows.Launch 協定之應用程式 windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel 的 ActivateApplicationForContractByAppIdAsUserWithHost 失敗,狀態為 應用程式未啟動。。
Get-ItemPropertyValue -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "ConsentPromptBehaviorAdmin"
回傳值是5
Windows防⽕牆服務也沒有被停用
再請各位大神指點迷津,教小弟如何解決這個狀況,謝謝。
已邀請的邦友 {{ invite_list.length }}/5
如果排除 GPO 的問題,我的經驗是有時候 Windows Update 有問題也會導致設定打不開。
在 Powershell 裡停掉相關服務:
net stop wuauserv
net stop cryptSvc
net stop bits
net stop msiserver
然後重置相關資料夾:
ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
ren C:\Windows\System32\catroot2 catroot2.old
再啟動服務:
net start wuauserv
net start cryptSvc
net start bits
net start msiserver
然後再試試看。
問AI 說的試過沒,理論只登入本機admin 可以開,登入套用 GPO就沒法了
echo 【正在清除登錄檔鎖定...
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /f >nul 2>&1
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSettingsApp /f >nul 2>&1
reg delete "HKCU\Software\Classes\ms-settings" /f >nul 2>&1
reg delete "HKCR\ms-settings" /f >nul 2>&1
echo 登錄檔鎖定清除完成!
echo.
**很明顯是加入網域後發生的 GPO 的問題。**不讓使用者去亂動
問AI 給的答案 整體修護過程沒啥問題,不知你修好沒
@echo off
:: 設定字體與顏色,方便查看
color 0A
mode con cols=80 lines=30
title Windows DC 設定閃退一键修復工具(系統管理員)
:: 檢查是否以系統管理員身分執行
fltmc >nul 2>&1 || (
echo 錯誤:請以「系統管理員身分」執行此批次檔!
echo 操作方法:右鍵點擊批次檔 → 選擇「以系統管理員身分執行」
pause
exit /b 1
)
echo.
echo ==============================
echo Windows DC 設定閃退一键修復
echo ==============================
echo 修復項目:
echo 1. 清除登錄檔「設定」鎖定(NoControlPanel/NoSettingsApp),僅保留管理員操作權限
echo 2. 執行 SFC 系統檔修復
echo 3. 執行 DISM 映像修復
echo 4. 重設「設定」App 註冊
echo 5. 清除 ms-settings 無效關聯
echo ==============================
echo 執行中,请勿關閉窗口...
echo.
:: 第一步:清除登錄檔鎖定(舊IT常設置的限制),同時配置「僅管理員可操作設定」
:: 解決加入網域後GPO導致普通用戶亂動設定的問題,關閉普通用戶訪問權,保留管理員權限
echo 【1/5】正在清除登錄檔鎖定,並配置僅管理員可操作設定...
:: 先清除原有鎖定(避免設定閃退)
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /f >nul 2>&1
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSettingsApp /f >nul 2>&1
reg delete "HKCU\Software\Classes\ms-settings" /f >nul 2>&1
reg delete "HKCR\ms-settings" /f >nul 2>&1
:: 新增設定:僅管理員可打開「設定」和控制台,普通用戶無法訪問(對應GPO限制需求)
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REG_DWORD /d 0 /f >nul 2>&1
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSettingsApp /t REG_DWORD /d 0 /f >nul 2>&1
:: 配置安全許可,僅Administrators組有操作權限,普通用戶無訪問權(符合最小特權原則)
echo y | cacls "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /G Administrators:F >nul 2>&1
echo y | cacls "HKCU\Software\Classes\ms-settings" /G Administrators:F >nul 2>&1
echo y | cacls "HKCR\ms-settings" /G Administrators:F >nul 2>&1
echo 登錄檔鎖定清除完成,已配置「僅管理員可操作設定」,解決GPO用戶亂動問題!
echo.
:: 第二步:執行 SFC 系統檔修復
echo 【2/5】正在執行 SFC 系統檔修復(可能需要數分鐘)...
sfc /scannow > "%temp%\sfc_log.txt" 2>&1
if %errorlevel% equ 0 (
echo SFC 修復完成,無異常或已修復損毀檔案!
) else (
echo SFC 修復發現問題,詳細日誌:%temp%\sfc_log.txt
)
echo.
:: 第三步:執行 DISM 映像修復
echo 【3/5】正在執行 DISM 映像修復(可能需要數分鐘)...
DISM /Online /Cleanup-Image /ScanHealth > "%temp%\dism_scan.txt" 2>&1
DISM /Online /Cleanup-Image /RestoreHealth > "%temp%\dism_restore.txt" 2>&1
if %errorlevel% equ 0 (
echo DISM 映像修復完成,系統映像正常!
) else (
echo DISM 修復有異常,詳細日誌:%temp%\dism_restore.txt
)
echo.
:: 第四步:重設「設定」App(PowerShell 指令)
echo 【4/5】正在重設「設定」App 註冊...
powershell -Command "Get-AppxPackage *windows.immersivecontrolpanel* | Reset-AppxPackage" >nul 2>&1
echo 設定 App 重設完成!
echo.
:: 第五步:額外清理 DNS 快取(DC 額外優化,避免間接影響)
echo 【5/5】正在清理 DNS 快取(DC 專用優化)...
ipconfig /flushdns >nul 2>&1
ipconfig /registerdns >nul 2>&1
echo DNS 快取清理完成!
echo.
:: 修復完成提示
echo ==============================
echo 所有修復步驟執行完畢!
echo ==============================
echo 重要:請重開機後,測試「設定」是否能正常打開。
echo 若仍閃退,請檢查事件檢視器(eventvwr.msc),查看應用程式錯誤日誌。
echo 當前設定:僅 Administrator 管理員可操作「設定」,普通用戶無法訪問,解決GPO導致的亂動問題。
echo.
echo 按任意鍵關閉窗口,準備重開機...
pause
:: 提示重開機(手動確認,避免誤重啟DC)
echo 即將重開機,若不想立即重開機,請按 Ctrl+C 取消!
shutdown /r /t 30 /c "DC 設定修復完成,即將重開機"
iThome鐵人賽
看影片追技術