Haga clic en Herramientas, luego en Opciones de Internet. Haga clic en la carpeta de Seguridad. Haga clic en el botón Nivel personalizado. Vaya a la sección de Automatización. Seleccione Activar en Automatización de los subprogramas de Java, Permitir operaciones de pegado por medio de una secuencia de comandos y Secuencias de comandos ActiveX. Haga clic en el botón Aceptar. Internet Explorer 6: Haga clic en Herramientas, luego en Opciones de Internet. Haga clic en la carpeta de Seguridad. Haga clic en el botón Nivel personalizado. Vaya a la sección de Automatización. Seleccione: *Activar en Automatización de los subprogramas de Java, *Permitir operaciones de pegado por medio de una secuencia de comandos *y Secuencias de comandos ActiveX. Haga clic en el botón Aceptar. Activar la rama de ActiveX !!!!! En Herramientas->Opciones de Internet-> Seguridad->Nivel Personalizado , marcar como Enabled o Prompt todas las opciones de: rama Automatizacion (o \\\"Scripts\\\" en ingles) esten las tres opciones prendidas. rama ActiveX https://jira.jboss.org/browse/RF-8429?focusedCommentId=12515525 Unfortunately, this is Microsoft-related issue. Up to IE8 they implement XMLHttpRequest, that is necessary for AJAX transport, as ActiveX control, so it generates warnings for any AJAX-enabled RichFaces component - and anything else that uses the standard IE Ajax transport. At most all known AJAX libraries use the same XMLHttpRequest object. ActiveX controls are enabled by default, so it oblivious result of custom policy in the customer\\*s domain. They have to ask domain admin to setup appropriate security restrictions. There are many options for those changes. You can setup whitelists, allow administrator approved controls, or place their internal site in a security zone where this will not be a problem. And they can push all of this down as a domain policy template...any MCSE should be able to lock this down.