为什么我的 Internet Explorer 组策略被忽略?

为什么我的 Internet Explorer 组策略被忽略?

鉴于最近发现的 MSHTML 漏洞(因为这通常是一个好主意),我想通过组策略禁止下载 ActiveX 组件。但是,我的策略设置似乎被忽略了。

这是我的组策略设置:

组策略设置

然后,我刷新客户端 PC 上的组策略(在非提升的 shell 中,因为这是一个用户策略):

C:\Users\{redacted}>gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

但 IE 似乎忽略了我的新设置:

IE 设置

我肯定我忽略了一些显而易见的事情。那是什么?

答案1

已禁用策略设置。这意味着不应用组策略设置。

你需要做的是使能够政策制定,然后配置政策制定已禁用换句话说,不是这样的:

错误的

你应该这样做:

正确的

您还可以在摘要视图中看到差异。这是错误的:

错误摘要

这是正确的:

正确摘要


不幸的是,设置的名称(需要启用)和设置内选项的名称(需要禁用)完全相同,这使得这种错误很容易被忽视。正如@Swisstone在评论中提到的,可以在这里提供帮助。这是“错误”情况下(超级详细)gpresult的输出:gpresult /Z/Z

GPO: Internet Explorer
    Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    State:       disabled

正确情况如下:

GPO: Internet Explorer
    Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    Value:       3, 0, 0, 0
    State:       Enabled

后一个条目将此注册表值设置为dword:00000003,这是您想要的结果。请注意,IE 现在尊重此设置:

IE

相关内容