Eu sei que esta pergunta é um pouco antiga, mas há alguns inverdades sendo postados aqui. Não há nada de errado com o funcionamento do SCCM 2012, o problema é um mal-entendido sobre como ele implementa software e atualizações. Não é justo citar a Microsoft quando dizem que ela está se comportando "por design" e que você não pode fazer nada além de definir um prazo no futuro. Isso realmente é por design, mas com base no design do seu. Você não definiu as janelas de manutenção, então, é claro, as atualizações serão aplicadas assim que o prazo atingir. Isso é o que faz por padrão. Nesse tipo de design, você deve definir seu prazo no futuro para evitar que a instalação seja iniciada. No entanto, essa não é a única maneira de fazer o que você quer, nem é o mais simples.
Você sabia que pode reverter o comportamento padrão do SCCM de "vale tudo a menos que seja dito o contrário"?
To do this, create a new collection (named anything that makes sense, like "Deploy Manually") and include the "All Systems" collection in its membership. Then get Properties on it, and set a Maintenance Window using any effective date in the past, like 01/01/2013 from 12:00am to 12:05am, and set the recurrence schedule to None. You will get a warning about recurrence not being set, but click OK anyway. From that point forward, every device in your SCCM environment will automatically have an expired Maintenance Window set on it, and can no longer install anything without a new Maintenance Window, or by checking the override maintenance window box when making a deployment. This is the opposite of its previous behavior, because it will now run no installs or updates until explicitly told.
Isso é muito poderoso, mas a ressalva é que agora você tem controle manual completo sobre quando as instalações podem ser executadas e quando as reinicializações podem ocorrer - exatamente como você queria. Agora essas caixas de seleção têm um significado. Por exemplo, se você tiver regras de implantação automática, como o Endpoint Protection Definitions, precisará certificar-se de que elas possam ser instaladas fora das janelas de manutenção, a menos que você goste de fazer login nos servidores todos os dias para aplicá-las. Você tem a opção de suprimir as reinicializações, mesmo que uma instalação possa ser executada fora das janelas de manutenção. Um benefício é que você pode implantar facilmente qualquer coisa e simplesmente usar "O mais rápido possível" ao escolher atribuições e prazos para instalações manuais e, se tiver clareza sobre configurações de janela de manutenção, implantar patches uma vez, mas agendar a instalação e reinicialize usando outras coleções com novas janelas de manutenção. Lembre-se de que as janelas de manutenção são cumulativas em todas as coleções, portanto, projete seu ambiente de acordo.