Se você realmente não tem controle sobre os contêineres e as configurações de GPO, fica sem sorte. O sistema foi projetado para impedir que administradores locais alterem esse tipo de coisa.
Eu tenho usuários na situação exata em que você está, então tivemos que criar processos para permitir exceções às regras de todos os que devem aplicar as atualizações em $ DateTime. Temos um grupo de UOs para máquinas que precisam ser seguras através do processo de atualização, e as pessoas movem as máquinas para lá, se precisarem. As máquinas lá são auditadas de vez em quando para verificar se elas PRECISAM estar lá, não queremos estações de trabalho do usuário final porque elas odeiam ter que sair do Outlook uma vez por mês.
Depois que sua produção é terrivelmente interrompida por causa dos patches deste fim de semana, você pode pegar isso (e possivelmente os gerentes irados que isso causará) e pressionar por algum tipo de política de exceções.