De ce este ignorată politica mea de grup Internet Explorer?

În lumina a descoperit recent o vulnerabilitate MSHTML (și pentru că este o idee bună în general), vreau să interzic descărcarea componentelor ActiveX prin politica de grup. Cu toate acestea, se pare că setările mele de politică sunt ignorate.

Iată setarea mea de politică de grup:

Apoi reîmprospăt politica de grup pe computerul meu client (într-un shell neelevat, deoarece aceasta este o politică de utilizator):

C:\Users\{redacted}>gpupdate /force
Se actualizează politica...

Actualizarea politicii computerului s-a finalizat cu succes.
Actualizarea politicii utilizatorului s-a finalizat cu succes.

Cu toate acestea, IE pare să ignore noile mele setări:

Sunt sigur că trec cu vederea ceva evident. Ce este?

Tu dezactivat setarea politicii. Aceasta înseamnă că setarea politicii de grup nu este aplicată.

Ceea ce trebuie să faci în schimb este să permite setarea politicii și apoi configurați setarea politicii la dezactivat. Cu alte cuvinte, în loc de asta:

ar trebui sa faci asta:

De asemenea, puteți vedea diferența în vizualizarea rezumat. Este gresit:

Si asta este corect:

Din păcate, numele setării (care trebuie activată) și numele opțiunii din interiorul setării (care trebuie dezactivată) sunt exact aceleași, ceea ce face ca o astfel de eroare să fie ușor de trecut cu vederea. După cum a menționat @Swisstone în comentarii, gpresult poate ajuta aici. Aceasta este rezultatul gpresult /Z (/Z pentru super-verbos) în cazul „greșit”:

GPO: Internet Explorer
    ID folder: Software\Politici\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    Stare: dezactivat

Și asta în cazul corect:

GPO: Internet Explorer
    ID folder: Software\Politici\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    Valoare: 3, 0, 0, 0
    Stare: Activat

Această din urmă intrare setează această valoare de registry la dword:00000003, care este rezultatul dorit. Rețineți că IE respectă această setare acum: