我之前帮好几个客户处理过Server 2012 AD+Windows 10环境下的BitLocker批量部署，你的这些困境我太熟悉了——计划任务跑不起来、脚本权限卡壳这些坑确实容易踩，给你分享几个亲测有效的解决思路：

一、优先用GPO原生BitLocker策略（最省心稳定） #

其实完全不用自己折腾脚本，Server 2012的AD组策略里就有专门的BitLocker配置项，这是微软官方推荐的方案：

• 打开组策略编辑器，定位到：计算机配置 > 管理模板 > Windows组件 > BitLocker驱动器加密
• 先启用**「操作系统驱动器的BitLocker保护」**策略，根据需求设置加密模式（Win10推荐XTS-AES）
• 关键配置：开启**「将BitLocker恢复信息存储在Active Directory中」**，这一步需要先确保AD架构支持——在域控制器上运行Add-WindowsFeature RSAT-AD-PowerShell安装AD模块，再执行Enable-AdOptionalFeature -FeatureName 'BitLockerRecoveryInformationStorage' -Scope ForestOrConfigurationSet -Target '你的域名'来开启密钥备份功能
• 另外配置**「要求附加身份验证在启动时」**，根据你的硬件选择TPM-only或者TPM+PIN/USB验证（Win10默认支持TPM启动，这个策略能确保加密时的验证逻辑符合要求）
• 配置完GPO后，客户端电脑重启2-3次，BitLocker会自动触发加密，恢复密钥也会自动同步到AD，后续管理非常方便。

二、修复计划任务GPO的问题（如果你坚持用脚本） #

计划任务跑不起来，大概率是权限或脚本路径的问题，给你梳理正确的配置步骤：

• 脚本存放路径：要么把脚本复制到客户端本地（比如用GPO的「计算机配置 > 首选项 > 文件夹」把脚本同步到C:\Scripts），要么放在域共享里——注意SYSTEM账户是用计算机身份访问共享的，所以要给共享的NTFS权限加上DOMAIN\计算机名$的读取权限，或者直接给Authenticated Users读取权限
• 计划任务GPO的核心配置：
  • 触发器：选「计算机启动后延迟10分钟」（避免系统刚启动时资源不足导致脚本失败）
  • 操作：启动程序，程序/脚本填powershell.exe，添加参数填-ExecutionPolicy Bypass -File "脚本的完整路径"（比如-ExecutionPolicy Bypass -File "\\domain.com\shared\scripts\Enable-BitLocker.ps1"）
  • 安全选项：勾选「不管用户是否登录都要运行」，并且勾选「使用最高权限运行」，运行身份选择NT AUTHORITY\SYSTEM
• 额外配置：通过GPO设置PowerShell执行策略，路径是计算机配置 > 管理模板 > Windows组件 > Windows PowerShell > 启用脚本执行，设置为「允许本地脚本和远程签名脚本」（如果脚本没签名，也可以选「无限制」，根据安全需求调整）

三、调整登录脚本的权限（另一种脚本方案） #

你提到登录脚本以当前用户运行不行，是因为启用BitLocker需要管理员权限，给脚本加一段自提权代码就能解决：
在你的BitLocker脚本开头加上这段代码，脚本运行时会自动请求管理员权限：

# 检查是否以管理员身份运行
If (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")) {
    $arguments = "& '" + $myinvocation.mycommand.definition + "'"
    Start-Process powershell -Verb runAs -ArgumentList $arguments
    Break
}
# 下面是你的BitLocker启用代码
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryPasswordProtector

然后把这个脚本放到GPO的「用户配置 > 脚本 > 登录」里，用户登录时会弹出UAC提示（如果UAC没禁用），确认后脚本就能以管理员权限运行启用BitLocker了。

总结一下：优先用GPO原生的BitLocker策略，这是最稳定且无需维护的方案；如果一定要用脚本，就把计划任务的权限和路径配置对，或者给登录脚本加自提权逻辑。

备注：内容来源于stack exchange，提问作者tsz