ถ้าคุณเป็นสายดูแลระบบ หรือ ทำงานฝั่ง IT admin ในองค์กร น่าจะคุ้นกับไฟล์ registry.pol กันดี เพราะนี่คือไฟล์สำคัญที่เกี่ยวข้องกับการ “แปลง” การตั้งค่า Group Policy (GPO) ไปเป็นค่าใน Registry เพื่อให้เครื่องในองค์กรบังคับใช้นโยบายได้จริง โดยเฉพาะนโยบายที่มาจาก Administrative Templates (ADMX/ADML) ซึ่งเป็นหมวดที่เจอบ่อยที่สุดในโลกงานองค์กร
ปัญหาคือ เวลาที่ registry.pol เกิดความเสียหาย (corruption) หรือ มีการแก้ไขผิดพลาด ผลกระทบมันไม่ได้จบแค่ “นโยบายบางตัวไม่ติด” แต่มักลากยาวไปถึงอาการปวดหัวระดับองค์กร เพราะเครื่องปลายทางอาจเริ่มมีพฤติกรรมไม่เหมือนกัน นโยบายหลุดเป็นจุด ๆ และยิ่งตามสาเหตุยากขึ้นไปอีก
ข่าวดีคือ Microsoft เพิ่มความสามารถเล็ก ๆ แต่โคตรมีประโยชน์ใน Windows 11 โดยทำให้ Event ID 1096 แสดงรายละเอียดที่ “ใช้งานได้จริง” มากขึ้นใน Event Viewer ช่วยลดงานเดา ลดเวลาตามหาสาเหตุ และทำให้การไล่ปัญหา GPO มีหลักฐานชัดเจนกว่าเดิม
registry.pol คืออะไร ทำไมถึงสำคัญกับ Group Policy
ในมุมทำงานจริง ให้มอง registry.pol เป็นไฟล์ที่เก็บ “ผลลัพธ์เชิง Registry” ของนโยบายที่เป็นแบบ registry-based policy ซึ่ง Windows จะอ่านไฟล์นี้ตอนประมวลผลนโยบาย แล้วนำไปเขียนเป็นคีย์/ค่าใน Registry ตามที่กำหนดไว้
โดยทั่วไป registry.pol จะอยู่ในโฟลเดอร์ Local Group Policy เช่น
C:\Windows\System32\GroupPolicy\Machine\registry.pol(นโยบายฝั่งเครื่อง)C:\Windows\System32\GroupPolicy\User\registry.pol(นโยบายฝั่งผู้ใช้)
และตัวไฟล์มีโครงสร้าง/รูปแบบเฉพาะของมันเอง (มีส่วน header และ signature) ซึ่งถ้าข้อมูลเพี้ยน หรือ signature ไม่ถูกต้อง ก็อาจทำให้การ parse ล้มเหลวได้
ปัญหาเดิมของ Event ID 1096: เจอ error แต่บอกไม่ชัดว่า “พังเพราะอะไร”
ก่อนหน้านี้ เวลา Group Policy ประมวลผล registry-based policy แล้วเจอปัญหา (เช่น parse ไม่ผ่าน, อ่านไฟล์ไม่ได้, สิทธิ์ไม่พอ) Windows จะบันทึก Event ID 1096 ไว้ใน System log ก็จริง แต่ข้อความที่ได้มักกว้างมาก ประมาณว่า “ประมวลผลล้มเหลว” แล้วจบ ทำให้คนดูแลต้องไปไล่ต่อเองว่าเกิดจาก
- ไฟล์เสียจริงไหม
- โดนแก้ด้วยมือหรือเปล่า
- สิทธิ์ไฟล์โดนเปลี่ยนไหม
- ดิสก์/ระบบไฟล์มีปัญหาไหม
- หรือเป็นซอฟต์แวร์ภายนอกทำอะไรแปลก ๆ
Microsoft เองก็ยอมรับตรง ๆ ว่า ก่อนอัปเดตนี้ Event 1096 มักให้ข้อมูลแบบ “ให้รู้ว่า error แต่ไม่รู้ว่าสาเหตุเกิดจากอะไร”
จุดที่อัปเดตใหม่ทำให้ดีขึ้น: Event ID 1096 บอกรายละเอียดแบบ actionable
หลังติดตั้งอัปเดตสะสม (Cumulative Update) ของ Windows 11 ประจำเดือนกุมภาพันธ์ 2026 เป็นต้นไป Event ID 1096 ตัวเดิม จะมีรายละเอียดเพิ่มในแท็บ Details ของ Event Viewer โดยเป็นข้อความที่เจาะจงสาเหตุขึ้นมาก เช่นตัวอย่างที่ Microsoft ยกให้ดู:
Error during registry file parsing: Invalid file signatureError during registry file parsing: CreateFile failed with 5
ซึ่งช่วยให้รู้ทันทีว่าเป็นแนว “ไฟล์ signature ไม่ถูก” (ไฟล์อาจเสีย/ถูกแก้ผิด) หรือ “CreateFile failed with 5” (มักโยงไปที่เรื่องสิทธิ์/Access denied) แบบไม่ต้องเดาสุ่ม
Microsoft ระบุว่า การเปลี่ยนแปลงนี้เริ่มใช้กับ Windows 11 เวอร์ชัน 24H2 และ 25H2 ตั้งแต่อัปเดตสะสมเดือนกุมภาพันธ์ 2026 หรือใหม่กว่านั้น และฝั่ง Windows Server จะตามมาในภายหลัง
ต้องอัปเดตตัวไหนถึงจะได้ฟีเจอร์นี้
Patch Tuesday เดือนกุมภาพันธ์ 2026 ของ Windows 11 (24H2/25H2) ปล่อยเมื่อ 10 กุมภาพันธ์ 2026 โดยตัวอย่างแพตช์สะสมคือ KB5077181 (OS Builds 26100.7840 และ 26200.7840)
ดังนั้นถ้าคุณทำบทความ/อัปเดตระบบ ณ วันที่ 23 กุมภาพันธ์ 2026 (วันทำบทความนี้) แล้วเครื่องในองค์กรยังไม่เห็นรายละเอียดเพิ่มใน Event 1096 ให้เช็กก่อนว่าเครื่องนั้นติดตั้ง cumulative update กุมภาพันธ์ 2026 แล้วหรือยัง (หรือใหม่กว่า)
วิธีดูรายละเอียดใหม่ใน Event Viewer
- เปิด Event Viewer
- ไปที่ Windows Logs > System
- Filter หา Event ID: 1096
(หรือกรอง Source เป็น GroupPolicy / Microsoft-Windows-GroupPolicy แล้วไล่ดู Event 1096) - เปิด event ที่เจอ แล้วไปที่แท็บ Details
- มองหาข้อความที่เจาะจงขึ้น เช่น
Invalid file signatureหรือCreateFile failed with 5
แค่ขั้นตอนนี้ก็ช่วยลดเวลาจาก “ตามหาสาเหตุเป็นชั่วโมง” เหลือเป็น “เห็นทิศทางภายในไม่กี่นาที” เพราะคุณเริ่มรู้แล้วว่าต้องโฟกัสที่ ไฟล์เสีย / สิทธิ์ไฟล์ / การเข้าถึงไฟล์ / ระบบดิสก์ ฯลฯ
สาเหตุที่ทำให้ registry.pol พังได้บ่อย (และทำไมมันถึงน่ากลัว)
Microsoft ยกตัวอย่างสถานการณ์ที่ทำให้ registry.pol เสียหายไว้หลายแบบ เช่น
- มีคนแก้ไฟล์ด้วยมือ แล้วข้อมูลกลายเป็น invalid
- ซอฟต์แวร์ third-party เขียนค่าแปลก ๆ ลงไฟล์
- บริการ GPSVC (Group Policy Client Service) crash / ทำงานผิดพลาด
- ปัญหาดิสก์ หรือ system crash ทำให้ไฟล์เสีย
- เปลี่ยน ACL จน SYSTEM อ่านไฟล์ไม่ได้
และที่น่ากลัวคือ ถ้า registry.pol ของ Local GPO ฝั่งเครื่องเสียจน apply ไม่ได้ มันสามารถกระทบการ apply นโยบายจากโดเมนฝั่ง registry-based ได้ด้วย (ผลคือ policy ฝั่งโดเมน “เหมือนจะถูกดันมา” แต่เครื่องกลับ “ไม่ยอมเขียนค่า”)
ทำไมฟีเจอร์นี้ถึง “โดนใจ IT admin” กว่าที่คิด
หลายคนอาจมองว่า “มันก็แค่มีข้อความใน log เพิ่มขึ้น” แต่ในงานองค์กรจริง นี่คือการเปลี่ยนจาก
- เห็น error แล้วต้องมาเดาต่อว่าพังตรงไหน
เป็น - เห็น error แล้วเริ่มแก้จากจุดที่ใช่ได้ทันที
ตัวอย่างเช่น
- ถ้าเจอ
Invalid file signatureคุณจะคิดถึงไฟล์เสีย/ถูกแก้ผิดเป็นอันดับแรก แล้วค่อยไปทาง restore/regen - ถ้าเจอ
CreateFile failed with 5คุณจะพุ่งไปดู ACL/permission ทันที ไม่ต้องเสียเวลาวนกับอย่างอื่น
พูดง่าย ๆ คือมันทำให้ Event 1096 เป็น “สัญญาณเตือนล่วงหน้า” ที่ช่วยหยุดปัญหาก่อนลามไปทั้งองค์กรได้จริง
แนวทางป้องกัน/แก้เบื้องต้น แบบไม่ทำให้เรื่องบานปลาย
1) หลีกเลี่ยงการแก้ registry.pol ด้วยมือ
ไฟล์นี้มี format เฉพาะ ไม่ใช่ไฟล์ text ธรรมดา การแก้ผิดนิดเดียวก็พังได้ และ signature อาจไม่ผ่าน
2) ถ้าจำเป็นต้องจัดการ Local Policy ให้ใช้เครื่องมือที่ถูกทาง
เช่น LGPO.exe (Security Compliance Toolkit) ที่ออกแบบมาเพื่อ import/export และจัดการ Local Group Policy รวมถึงทำงานกับ Registry Policy (registry.pol) ได้
3) เจอ Access denied ให้ตรวจ ACL โดยเฉพาะสิทธิ์ของ SYSTEM
กรณีตัวอย่างของ Microsoft คือการปรับ ACL ผิดจนอ่านไฟล์ไม่ได้ ซึ่งอัปเดตใหม่จะช่วยบอกชัดว่าพังตอน CreateFile และ error code เท่าไร
4) ถ้าพังบ่อยผิดปกติ อย่าลืมมองเรื่องดิสก์/ความเสถียรของเครื่อง
เพราะ disk error หรือ crash ก็เป็นหนึ่งในต้นเหตุที่ทำให้ไฟล์เสียได้เช่นกัน
สรุป: อัปเดตเล็ก ๆ ที่ลด “ภาระงาน” ได้มหาศาล
การเพิ่มรายละเอียดใน Event ID 1096 คือการแก้ pain point คลาสสิกของงาน Group Policy ใน Windows 11 โดยตรง เพราะเวลานโยบายไม่ apply ในองค์กร สิ่งที่แพงที่สุดไม่ใช่ตัวแพตช์ แต่คือ “เวลาของคน” ที่ต้องไปไล่หาสาเหตุ
ถ้าองค์กรของคุณใช้ Windows 11 24H2/25H2 อยู่แล้ว การติดตั้ง cumulative update เดือนกุมภาพันธ์ 2026 (หรือใหม่กว่า) จะทำให้การ troubleshoot เรื่อง registry.pol ชัดขึ้นมาก และช่วยให้ทีม IT เห็นอาการผิดปกติได้เร็ว ก่อนที่ policy จะลามไปสร้างปัญหาเป็นโดมิโน
ที่มา: Neowin
