鑑於最近發現的 MSHTML 漏洞(而且因為這通常是個好主意),所以我想禁止透過群組原則下載 ActiveX 元件。但是,我的策略設定似乎被忽略了。
這是我的群組原則設定:
然後我刷新客戶端 PC 上的群組原則(在非提升的 shell 中,因為這是使用者策略):
C:\Users\{redacted}>gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.
然而 IE 似乎忽略了我的新設定:
我確信我忽略了一些顯而易見的事情。它是什麼?
答案1
你殘障人士政策設定。這意味著群組原則設定未套用。
你需要做的是使能夠政策制定,然後配置政策設定為殘障人士。換句話說,而不是這個:
你應該這樣做:
您也可以在摘要檢視中看到差異。這是錯誤的:
這是正確的:
不幸的是,設定的名稱(需要啟用)和設定內的選項名稱(需要停用)完全相同,這使得這樣的錯誤很容易被忽略。正如@Swisstone 在評論中提到的,gpresult可以在這裡提供幫助。這是gpresult /Z(/Z對於超級詳細)在“錯誤”情況下的輸出:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
State: disabled
在正確的情況下:
GPO: Internet Explorer
Folder Id: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
Value: 3, 0, 0, 0
State: Enabled
後一個條目將此註冊表值設為dword:00000003,這是您的預期結果。請注意,IE 現在尊重此設定:
