Eu encontrei a resposta. Temos um objeto genérico de política de grupo do IE que usamos em servidores de terminal, e esse servidor de terminal específico tem seu próprio GPO de bloqueio do IE (para evitar que ele navegue na Internet). No AD, o servidor está em seu próprio contêiner com herança bloqueada.
Alguém marcou a política genérica do IE como reforçada, o que não apenas rompeu o bloqueio de herança, mas também a colocou em primeiro lugar na ordem de precedência. A simples remoção da imposição do GPO resolveu o problema.
Não é realmente útil para a Internet em geral. Basta postar isso como um lembrete para verificar a herança do seu GPO quando você se deparar com configurações complicadas do servidor que funcionam um dia e, de repente, não o próximo.