を踏まえて最近発見されたMSHTMLの脆弱性(一般的には良いアイデアなので)、グループ ポリシー経由で ActiveX コンポーネントのダウンロードを禁止したいのですが、ポリシー設定が無視されているようです。
私のグループポリシー設定は次のとおりです。
次に、クライアント PC 上のグループ ポリシーを更新します (これはユーザー ポリシーなので、管理者特権のないシェルで)。
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
しかし、IE は私の新しい設定を無視しているようです:
何か明らかなことを見落としているに違いありません。それは何でしょうか?
答え1
あなた無効ポリシー設定。これは、グループ ポリシー設定が適用されないことを意味します。
代わりにあなたがすべきことは有効にするポリシー設定と構成、設定ポリシー設定無効つまり、次のようになります。
そうするべきです:
概要ビューでも違いがわかります。これは間違っています:
そしてこれは正しいです:
残念ながら、設定の名前 (有効にする必要がある) と設定内のオプションの名前 (無効にする必要がある) はまったく同じであるため、このようなエラーは見落とされがちです。@Swisstone がコメントで述べたように、ここで役立つことがあります。これは、「間違った」ケースでの(超詳細)gpresultの出力です。gpresult /Z/Z
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
正しい場合は次のようになります。
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
後者のエントリは、このレジストリ値を に設定しますdword:00000003。これが意図した結果です。IE は現在この設定を尊重することに注意してください。
