必须满足五项前提:一、系统为正版Win11 22H2+且x64架构;二、Software Protection服务需设为自动延迟启动并运行;三、终端须以管理员身份运行且UAC启用;四、网络需通KMS端口1688及微软激活域名;五、系统时间准确、根证书有效。
如果您尝试通过命令行激活 Windows 11,但执行 slmgr 命令失败或提示权限不足、服务不可用,则可能是由于系统未满足命令激活的运行前提。以下是完成 Windows 11 命令激活前必须确认和配置的环境条件:
一、确保系统版本与架构匹配
命令激活依赖于系统内建的 Software Licensing Management Tool(slmgr.vbs),该工具仅在正式发布的 Windows 11 家庭版、专业版、企业版等零售或批量授权版本中完整存在。精简版、修改版、LTSC 非标准分支或非微软数字签名镜像可能缺失 slmgr 组件或禁用相关服务。
1、按下 Win + R 打开“运行”对话框,输入 winver 并回车,确认版本号为 Windows 11 版本 22H2 或 23H2 或 24H2,且构建号 ≥ 22621。
2、右键“此电脑” → “属性”,查看“系统类型”,确认为 64 位操作系统,基于 x64 的处理器(ARM64 架构暂不支持部分 KMS 密钥及 slmgr /skms 功能)。
3、在 PowerShell 中执行:Get-ComputerInfo | Select-Object WindowsProductName, OsArchitecture, WindowsBuildLabEx,核对输出中无“Evaluation”、“Preview”、“Insider”字样。
二、启用并运行必需的系统服务
slmgr /ato 激活过程需依赖 Software Protection 服务(sppsvc)进行许可证状态校验与通信。若该服务被禁用、延迟启动或崩溃,所有激活命令将立即返回错误代码 0x80070426 或“无法连接到软件保护服务”。
1、按下 Win + R,输入 services.msc 并回车,打开服务管理控制台。
2、在服务列表中找到 Software Protection,双击打开属性窗口。
3、将“启动类型”设置为 自动(延迟启动),点击“应用”;若服务状态显示“已停止”,则点击“启动”按钮。
4、在管理员权限的 PowerShell 中执行:Start-Service sppsvc 与 Get-Service sppsvc | Select-Object Status, StartType,确认返回状态为 Running 且启动类型为 AutomaticDelayedStart。
三、获取管理员权限并禁用 UAC 临时干扰
slmgr 命令必须在具备 SeSystemEnvironmentPrivilege 权限的上下文中运行,普通用户或受限管理员账户即使右键选择“以管理员身份运行”,也可能因用户账户控制(UAC)策略拦截导致命令静默失败或密钥安装无效。
1、右键点击“开始”按钮,选择 终端(管理员)(Windows 11 默认终端应用)或 命令提示符(管理员)。
2、在弹出的 UAC 提示框中,点击“是”;若未弹出提示,请检查:按 Win + R 输入 regedit,导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System,确认 EnableLUA 值为 1(启用 UAC 是安全前提,不可永久关闭)。
3、在管理员终端中执行:whoami /groups | findstr "S-1-16-12288",确认输出包含 Mandatory Label\High Mandatory Level,表明当前会话处于高完整性级别。
四、验证网络连通性与 DNS 解析能力
KMS 激活方式需向指定 KMS 服务器发起 TCP 1688 端口连接,并完成 SRV 记录查询与 TLS 握手;数字许可证激活则需访问 activation.sls.microsoft.com 及 licensing.mp.microsoft.com。防火墙、代理、hosts 文件篡改或 DNS 污染均会导致 slmgr /ato 超时或返回 0xC004F074 错误。
1、在管理员 PowerShell 中执行:Test-NetConnection kms.0t.net.cn -Port 1688(或您选用的 KMS 地址),确认 TcpTestSucceeded : True。
2、执行:nslookup licensing.mp.microsoft.com 8.8.8.8,验证能否从公共 DNS 获取有效 A 记录;若失败,临时将 DNS 设置为 8.8.8.8 或 1.1.1.1。
3、执行:ping -n 1 activation.sls.microsoft.com,观察是否收到响应;若超时但 nslookup 成功,需检查 Windows 防火墙入站规则是否阻止了 outbound TCP 443 流量。
五、确认系统时间与证书链有效性
slmgr 激活过程涉及 X.509 证书签名验证,若本地系统时间偏差超过 5 分钟,或根证书存储损坏,将导致 TLS 握手失败、KMS 响应被拒绝或数字许可证验证中断,错误代码常见为 0x80072F8F 或 0x80070005。
1、右键任务栏右下角时间 → “调整日期和时间”,开启 自动设置时间 和 自动设置时区,点击“立即同步”。
2、在管理员 PowerShell 中执行:w32tm /resync /force,等待返回“命令成功完成”。
3、运行:certutil -verifyctl,检查输出末尾是否含 VerifyCTL: OK;若提示“缺少根证书”,执行 certutil -generateSSTFromWU roots.sst 后双击导入。
