结合你遇到的组策略脚本执行问题，我从环境配置、脚本逻辑和Windows登录流程几个维度帮你拆解分析：

环境背景 #

• 域控制器配置：
  • 主DC：Server 2008 R2（计划近期升级）
  • 副DC：Server 2012 R2（包含新版ADMX文件）
• 原有组策略情况：
  • 默认域策略（强制启用+链接启用，推送至所有OU）：包含映射驱动器、添加桌面文档的.bat登录脚本
  • 附加域策略（在2012 R2 DC创建，链接到域）：包含登录时运行的PowerShell脚本（用到Start Screen Layout功能）

初始问题：默认域策略失效 #

附加策略运行正常，但默认域策略完全不执行；移除附加策略中的PowerShell命令后，默认策略恢复正常。

附加策略包含的3个SysVol存储脚本 #

1. 复制开始菜单快捷方式的PowerShell脚本：

   Copy-Item -Path "\\Server\Share\*.lnk" -Destination "$env:APPDATA\Microsoft\Windows\Start Menu\Programs"
   

   关联startlayout.xml实现开始菜单快捷方式配置
2. 移除Win10预装应用的PowerShell脚本：

   $AppList = @( "*Microsoft.3dbuilder*" "*AdobeSystemsIncorporated.AdobePhotoshopExpress*" "*Microsoft.WindowsAlarms*" "*Microsoft.Asphalt8Airborne*" )
   foreach ($App in $AppList) { Get-AppxPackage -Name $App | Remove-AppxPackage -ErrorAction SilentlyContinue }
   

3. 批量调用前两个脚本的PowerShell启动脚本：

   Get-ChildItem \\domain\SysVol\domain\Policies\'{Policy Number}'\User\Scripts\Logon | ForEach-Object { & $_.FullName }
   

后续调整与新问题 #

已完成优化：

• 用组策略原生功能替代默认域策略的驱动器映射、文档复制，直接移除了默认域策略
• 仅保留“移除臃肿应用”的脚本，改用.bat调用PowerShell：

  PowerShell.exe -NoProfile -ExecutionPolicy Bypass -Command "& {Start-Process PowerShell -ArgumentList '-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File \\\domainm\SysVol\domain\Policies\{Policy Number}\User\Scripts\Logon\BloatwareRemoval.ps1'-Wait}"
  

但新问题出现：该脚本仅在用户第二次登录时才执行，首次登录无效果

问题原因分析与解决方案 #

1. 初始默认域策略失效的根因 #

附加策略的PowerShell启动脚本存在执行阻塞问题：

• Get-ChildItem遍历脚本并逐个执行时，若其中某个脚本（比如复制快捷方式或卸载应用）执行耗时较长，会占用组策略登录脚本的执行线程，导致默认域策略的.bat脚本被延迟甚至跳过执行
• 组策略登录脚本的执行顺序是按策略优先级+脚本类型，PowerShell脚本的执行优先级可能高于传统.bat，且如果附加策略的脚本未正确处理异步/同步，会阻塞后续策略脚本

2. 二次登录才执行的新问题原因 #

可能的触发点：

• 首次登录时的系统初始化阻塞：Win10首次登录会执行大量系统配置（如用户配置文件创建、默认应用注册），此时PowerShell脚本尝试卸载AppxPackage时，部分应用进程仍在被系统占用，导致Remove-AppxPackage命令静默失败（因为加了-ErrorAction SilentlyContinue）
• 组策略脚本的执行时机：首次登录时，组策略脚本可能在用户配置文件完全加载前执行，$env:APPDATA等环境变量未正确初始化，或者SysVol路径的访问权限尚未完全生效
• Bat调用PowerShell的参数问题：你的Bat命令中\\\domainm\SysVol多了一个反斜杠，应该是\\domainm\SysVol，路径错误会导致首次登录时脚本找不到文件，二次登录时缓存了路径权限才成功

针对性解决方案 #

方案一：修正Bat脚本的路径与执行时机

1. 修正路径错误：把\\\domainm\SysVol改为\\domainm\SysVol
2. 调整PowerShell执行参数，确保等待系统初始化完成：

   PowerShell.exe -NoProfile -ExecutionPolicy Bypass -Command "& {
       # 等待用户配置文件完全加载
       Start-Sleep -Seconds 10
       # 执行卸载脚本
       & '\\domainm\SysVol\domain\Policies\{Policy Number}\User\Scripts\Logon\BloatwareRemoval.ps1'
   }"
   

方案二：优化Appx卸载脚本的可靠性

修改卸载脚本，增加重试机制和错误日志，避免静默失败：

$AppList = @( 
    "*Microsoft.3dbuilder*",
    "*AdobeSystemsIncorporated.AdobePhotoshopExpress*",
    "*Microsoft.WindowsAlarms*",
    "*Microsoft.Asphalt8Airborne*"
)
$LogPath = "$env:USERPROFILE\AppxRemovalLog.txt"
"$(Get-Date) - Starting app removal" | Out-File $LogPath -Append

foreach ($App in $AppList) {
    $RetryCount = 3
    do {
        try {
            $AppPackage = Get-AppxPackage -Name $App -ErrorAction Stop
            if ($AppPackage) {
                Remove-AppxPackage -Package $AppPackage.PackageFullName -ErrorAction Stop
                "$(Get-Date) - Successfully removed $App" | Out-File $LogPath -Append
                break
            } else {
                "$(Get-Date) - $App not found" | Out-File $LogPath -Append
                break
            }
        } catch {
            "$(Get-Date) - Failed to remove $App : $_" | Out-File $LogPath -Append
            $RetryCount--
            Start-Sleep -Seconds 5
        }
    } while ($RetryCount -gt 0)
}

方案三：改用组策略的「计算机配置」脚本（推荐）

把卸载应用的脚本移到**计算机配置→脚本（启动/关机）**下，这样会在系统启动时（用户登录前）执行，避免用户登录时的系统初始化阻塞，且权限更高，卸载Appx包更可靠。

内容的提问来源于stack exchange，提问作者Admaine