"Aufgedrückt" bekommen die Clients nichts - ist immer "Pull" nicht "Push"!
Soll heißen, die Clients holen sich nur die Updates am WSUS ab, die für sie freigegeben worden sind.
Im Sinne deiner Anfrage, könntest du am WSUS zwei Computergruppen anlegen.
Eine "Test/Pilot" Gruppe und eine allgemeine "Standard Client" Gruppe.
Dann könntest du neue Updates für die Test-Gruppe per Auto-Genehmigungsrichtlinie freigeben lassen
- die bekämen die Updates dann sofort, so bald am WSUS verfügbar - und für die "Standard Client" Gruppe, in der die meisten bzw. wichtigeren Clients sind, könntest du die Updates manuell freigeben, wenn sie einen Zeitraum X in der Testgruppe problemlos
gelaufen sind.
Eine andere Stellschraube könnte das Such/Installations-Intervall am Client sein (auch per GPO zu steuern).
z.B. Test Clients suchen/installieren freigegebene Updates täglich, Standard Clients nur wöchentlich am Montag. Damit hättest du zumindest fünf Tage Abstand zum Patchday (Mi, Do, Fr, Sa, So) in denen du "Problem-Bären" am WSUS wieder auf "nicht
genehmigt" stellen könntest.
Mögliche Szenarien gibt es viele - was genau für dich passt wirst du vermutlich selbst herausfinden müssen.
Mit den Bordmitteln der WSUS GUI + Gruppenrichtlinie alleine, wirst du vermutlich den gewünschten 30d Abstand (in Kombination mit der Autogenehmigungs-Richtlinie) nicht erreichen.
Gruß TechnikSC885
