Angesichts derkürzlich entdeckte MSHTML-Sicherheitslücke(und weil es grundsätzlich eine gute Idee ist), möchte ich das Herunterladen von ActiveX-Komponenten über die Gruppenrichtlinie verbieten. Es scheint jedoch, dass meine Richtlinieneinstellungen ignoriert werden.
Hier ist meine Gruppenrichtlinieneinstellung:
Dann aktualisiere ich die Gruppenrichtlinie auf meinem Client-PC (in einer Shell ohne erhöhte Rechte, da dies eine Benutzerrichtlinie ist):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
Dennoch scheint der IE meine neuen Einstellungen zu ignorieren:
Ich bin sicher, dass ich etwas Offensichtliches übersehe. Was ist es?
Antwort1
Dudeaktiviertdie Richtlinieneinstellung. Dies bedeutet, dass die Gruppenrichtlinieneinstellung nicht angewendet wird.
Was Sie stattdessen tun müssen, istaktivierendie Richtlinieneinstellung und dannkonfigurierendie politische Einstellung zudeaktiviert. Mit anderen Worten, statt diesem:
Du solltest das tun:
Den Unterschied erkennt man auch in der Übersichtsansicht. Das ist falsch:
Und das ist richtig:
Leider sind der Name der Einstellung (die aktiviert werden muss) und der Name der Option innerhalb der Einstellung (die deaktiviert werden muss) genau gleich, wodurch ein solcher Fehler leicht übersehen werden kann. Wie @Swisstone in den Kommentaren erwähnt hat, gpresultkann hier helfen. Dies ist die Ausgabe von gpresult /Z( /Zfür super-verbose) im „falschen“ Fall:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
Und zwar im richtigen Fall:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
Der letzte Eintrag setzt diesen Registrierungswert auf dword:00000003, was Ihr gewünschtes Ergebnis ist. Beachten Sie, dass der IE diese Einstellung jetzt respektiert:
