Все сложнее, ведь политик может быть много и они могут наследоваться. У меня например несколько отдельных политик только для обновлений, для разных OU. Поэтому надо проверять разные административные шаблоны в разных OU и для компьютеров и пользователей.

Та ссылка которую ты привел, это запрещает/разрешает политику для компьютера с сайтом windowsupdate.microsoft.com
Кроме этой настройки еще есть Windows Components\Windows update и аналогичная ветка для пользователя. Вот эти две ветки значительно мощнее в управление.

Если устанавливали апдейты для GPO то задача не сложная. Было несколько апдейтов. После них работа стала более приятной. Так у тому же приятные отчеты. У меня по справке стоит GPM версии 1.0.2

velfimovоднобитныйединственное, что там более менее подходящее это Automatic Updates detection frequency,
у меня руский 2003
там согласно пути которому я указал в своём посте есть элемент который черным по белому называется "удалить доступ к возможностям windows update"
Вот оригинальный текст
авторIf you enable this setting, all Windows Update features are removed. This includes blocking access to the Windows Update Web site at httpwindowsupdate.microsoft.com, from the Windows Update hyperlink on the Start menu, and also on the Tools menu in Internet Explorer. Windows automatic updating is also disabled; you will neither be notified about nor will you receive critical updates from Windows Update. This setting also prevents Device Manager from automatically installing driver updates from the Windows Update Web site.
Что впрочем естествнно, ведь ветка называется Internet Communication Settings
Правильне работать с двумя другими ветками, а эту не конфигурировать, иначе не удастся загрузить обновления из браузера, если конечно это не является целью. А цель такая может быть, когда обновления только через WSUS

velfimovAnatoly Podgoretsky
1)Все сложнее, ведь политик может быть много и они могут наследоваться. У меня например несколько отдельных политик только для обновлений, для разных OU. Поэтому надо проверять разные административные шаблоны в разных OU и для компьютеров и пользователей.

2)Та ссылка которую ты привел, это запрещает/разрешает политику для компьютера с сайтом windowsupdate.microsoft.com
1)Кроме этой настройки еще есть Windows Components\Windows update и аналогичная ветка для пользователя. Вот эти две ветки значительно мощнее в управление.
точнее сказать политики не наследуются а получают права путём переумножения
если у вас 3 политики накатывается в 1й стоит 1(да), во 2й - 0(нет), в 3й -1(да)
то 1*0*1=0
т.е. если хоть одна политика запрещает, то запрет будет конечным
для сего я написал что по уму делают отдельную политику StandartUserPolicy где и делают все настройки для юзверей, а всякие хитропопости типа запрет USB делают отдельно и там уже всякую мелочовку не настраивают
2)имхо этого автору топега будет достаточно
Вообще то Микрософт это называет наследованием и действительно они наследуются, а то про то что ты говоришь, это механизм сложения настроек. И конечно запрет конечным не будет, это тоже настраиваемая вещь, я могу отказать от наследования на любом уровне. Но есть и запрет этого, который имеет приоритет, чтобы хитрожопые ниже стоящие админы не обошли корпоративные правила.

А у меня нет StandartUserPolicy, но я же не огорчаюсь, что у кого там что есть. В обновленном GPM вообще проблем нет, определись что к чему или получить интеррактивный отчет, что еще удобнее.

У меня много сложнее, у меня много групп, если ты под этим подразумеваешь OU, политику накачиваю в основно через "Default Domain Policy" и к ней дополнительные шаблоны, наследуемые и нет. В обновленом GPM политики не зависимы от OU и назначаются через Link. Наследование очень хорошо видно, я не испытываю ни каких проблем и даже неудобств. Я сейчас посмотрел у меня всего девять объектов груповой политики, с интуитивно понятными именами, например для WSUS это WSUS --> WSUSADM, WSUSDC, WSUSSRV, WSUSWS, для бухгалтеров Buh25Min где переопределено время срабатывания ScreenServer

velfimov,
У меня также отделены обычные пользователи от необычных. Никаких проблем с управлением я не замечаю.

Насчет GPM я не в курсе насчет 2008, мне кажется что там тоже должно быть. Я еще помню старую GPM и ее неудобства. А в новой все на глазах, сразу видно, что куда и как. Объекты отдельны от OU и назначаются произвольно любому OU. Можно смотреть по OU, можно по Объектам, можно по дереву в любом месте.