Почему моя групповая политика Internet Explorer игнорируется?

В свете недавно обнаруженная уязвимость MSHTML (и поскольку в целом это хорошая идея), я хочу запретить загрузку компонентов ActiveX с помощью групповой политики. Однако похоже, что мои настройки политики игнорируются.

Вот мой параметр групповой политики:

Затем я обновляю групповую политику на своем клиентском ПК (в оболочке без повышенных прав, так как это пользовательская политика):

C:\Users\{отредактировано}>gpupdate /force
Обновление политики...

Обновление политики компьютера успешно завершено.
Обновление пользовательской политики успешно завершено.

Тем не менее, IE, похоже, игнорирует мои новые настройки:

Я уверен, что упускаю из виду что-то очевидное. Что это такое?

Ты Отключено параметр политики. Это означает, что параметр групповой политики не применяется.

Вместо этого вам нужно включить параметр политики, а затем настроить параметр политики для Отключено. Другими словами, вместо этого:

вы должны сделать это:

Вы также можете увидеть разницу в сводном представлении. Это не правильно:

И это правильно:

К сожалению, название настройки (которую нужно включить) и название опции внутри настройки (которую нужно отключить) полностью совпадают, поэтому такую ​​ошибку легко не заметить. Как упоминал @Swisstone в комментариях, gpresult может помочь здесь. Это результат gpresult/Z (/Z для сверхподробных) в "неправильном" случае:

Объект групповой политики: Internet Explorer
    Идентификатор папки: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    Состояние: отключен

И это в правильном случае:

Объект групповой политики: Internet Explorer
    Идентификатор папки: Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1001
    Значение: 3, 0, 0, 0
    Состояние: включено

Последняя запись устанавливает для этого значения реестра значение Двойное слово: 00000003, который является вашим предполагаемым результатом. Обратите внимание, что IE теперь учитывает этот параметр: