O Windows Server Update Services (WSUS) fornece o componente do lado do servidor para lidar com a implantação de atualização . É fornecido pela Microsoft como um complemento gratuito ao Windows Server 2003 e superior.
Os computadores (PCs clientes, servidores, etc.) são geralmente direcionados ao servidor WSUS para receber atualizações por meio de configurações de Diretiva de Grupo (isso também pode ser feito por meio da manipulação simples de registros). O software cliente do Windows Update é configurável para permitir que o cliente baixe e instale atualizações automaticamente em um agendamento, ou baixe e solicite a instalação, etc. O software cliente pode forçar a reinicialização do PC ou, opcionalmente, adiar a reinicialização se um usuário permanecer logado. Há uma variedade de opções.
Para softwares de terceiros, você pode criar atualizações para distribuir via WSUS usando o Sysmtem Center Updates Publisher como parte do produto Microsoft System Center Configuration Manager. (Existem algumas outras ferramentas que permitirão que você publique atualizações não-Microsoft para o WSUS também - não tenho experiência com elas e não posso recomendar / comentar sobre elas. Há algumas conversas sobre elas em um comentário para esta resposta de falha do servidor . )
Normalmente, instalo software em computadores clientes por meio da Diretiva de Grupo, por isso, implantar atualizações normalmente envolve implantar novos pacotes dessa maneira. Você pode ver mais sobre essa estratégia em esta resposta de falha do servidor .
BTW: Você está fazendo a coisa certa: livrar-se dos direitos de administrador dos usuários. Você verá uma melhoria drástica na confiabilidade do PC e, indiretamente, estará melhorando a segurança. Ter uma rede com computadores clientes com direitos de administrador restritos é um ótimo lugar para se estar. No mínimo, o malware será restrito a danificar o perfil de um usuário individual, o que torna a limpeza tão fácil quanto restaurar uma cópia de um perfil móvel pré-infecção do backup.