Можно ли вообще не кэшировать обновления Windows на сервере WSUS (поскольку обновления занимают так много места на диске) и получать их с серверов обновлений в Интернете (обновления будут кэшироваться на клиентах с использованием оптимизации доставки), в то же время указать, какие обновления клиенты могут или не могут установить, утвердив / отклонив обновления на сервере WSUS? Если да, то какие параметры групповой политики необходимо установить, чтобы это произошло?
Это не групповая политика. Это конфигурация WSUS. Получите доступ к WSUS MMC, выберите Параметры в левой навигационной панели. На правой панели выберите пункт меню Обновить файлы и языки, затем переключатель для Не храните файлы обновлений локально; компьютеры устанавливаются из Центра обновления Майкрософт. Нажмите ОК для сохранения.
Однако, поскольку вы изменяете параметр получения обновлений, обязательно проверьте параметр GPO. Конфигурация компьютера> Политики> Административные шаблоны> Система> Управление подключением к Интернету> Параметры подключения к Интернету> Отключить доступ ко всем функциям Центра обновления Windows а также настройку GPO Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Центр обновления Windows> Не подключаться к каким-либо расположениям Центра обновления Windows в Интернете чтобы убедиться, что компьютерам разрешено обмениваться данными с Центром обновления Windows в Интернете.
* Примечание: в зависимости от уровня схемы вашего домена эти элементы GPO могут не существовать.