Vou falar com o Cara da Política de Grupo aqui: link
"Dentro do XML subjacente às configurações do IE no GPO, eles aproveitaram a ILT (Item-level targeting) para garantir que as configurações corretas chegassem à versão correta do IE no cliente. Especificamente, eles usam um arquivo ILT oculto para verificar a versão do IExplore.exe em execução na máquina do cliente e usar isso para determinar quais configurações do IE devem ser implantadas a partir do GPO "
Parece que a Microsoft também está usando algo parecido com a opção número 1 que você criou e, honestamente, não vejo o que há de errado com isso.