Acho que o Windows Update tem alguma provisão para plugins de terceiros, embora eu não me lembre dos detalhes. Se você tiver um programador à mão, ele poderá fazer algo nessa área. Eu não acho que há algo que você possa fazer do próprio servidor WSUS.
Outra abordagem seria usar o Process Monitor ou uma ferramenta semelhante para descobrir qual é o msiexec /regserver
está corrigindo (talvez uma configuração de registro?) e, em seguida, gravar um serviço para monitorar essa chave (ou qualquer outra) e chutar fora da correção assim que der errado. Esta informação também pode ajudá-lo a resolver o problema real. Se nada mais, você poderia tentar alterar as ACLs na chave do registro em questão para evitar que o sistema altere-o.
Outra abordagem seria reconfigurar os clientes para não instalar atualizações automaticamente e usar um script para fazer as instalações de atualização. Dessa forma, você poderia colocar o /regserver
no início do script. Você pode encontrar este script à mão como ponto de partida.
Se você quiser tentar solucionar o problema subjacente, eu começaria colocando uma instalação limpa em um computador de teste e adicionando-o ao domínio em uma unidade organizacional separada sem diretiva de grupo. Se houver objetos de política de grupo vinculados à parte superior do domínio, você poderá usar a opção "Bloquear herança" na unidade organizacional para impedir que eles sejam aplicados. Se o problema não ocorrer nessa configuração, você poderá vincular seus objetos de política de grupo, um por um, para identificar o que está causando problemas. Reinstale a máquina de teste e aplique um objeto de diretiva de grupo vazio e adicione as configurações do outro GPO, uma a uma, para identificar a configuração específica. Esse tipo de abordagem é lenta, mas eficaz.