A Configuração da Diretiva de Grupo impede que a atualização realmente aconteça. Se você clicar no ícone de atualização, receberá uma mensagem informando que o administrador desativou as atualizações. A configuração não elimina o programa de oferta (GWX.exe) se já estiver em execução.
O método oficial de suporte à desativação da atualização do Windows 10 está documentado aqui: link
Aqui está o que eu fiz no meu ambiente, com base no artigo da KB.
Eu defino os seguintes valores do registro:
HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate DisableOSUpgrade=0x1 (DWORD)
HKLM:\SOFTWARE\Policies\Microsoft\Windows\Gwx DisableGwx=0x1 (DWORD)
HKLM:\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade ReservationsAllowed=0x0 (DWORD)
Você pode definir o acima com as preferências de política de grupo. No meu ambiente, tenho um conjunto de scripts do PowerShell que são executados periodicamente em nossas estações de trabalho, então eu os adicionei lá. O método exato é com você. De qualquer forma, eu recomendo que você use um método recorrente para aplicar a configuração do Registro (Diretiva de Grupo, Script de Inicialização, Tarefa Agendada, qualquer que seja) e não um comando único. É possível que uma atualização futura possa redefinir as configurações do registro e causar estragos.
O primeiro valor que eu listei corresponde à configuração da Diretiva de Grupo que você mencionou. Os valores de registro usados pela Diretiva de Grupo estão documentados aqui: link
Observe que o terceiro não é mais documentado pela Microsoft. Eu acredito que foi documentado em um ponto (meus comentários de script dizem que veio da Microsoft), mas não consigo encontrar a fonte. Não tenho certeza se é mais necessário.
Além disso, você deve ter problemas com qualquer computador que já tenha o ícone de oferta de atualização (o GWX.exe está sendo executado). Você precisa de uma tarefa agendada ou semelhante para encontrar e matar todas as instâncias do GWX.exe. Como já tenho um script PowerShell periódico, adicionei este código a ele:
$processes = Get-Process | Where-Object {$_.Path -like "C:\Windows\System32\GWX\*.exe"}
if($processes)
{
$processes | Stop-Process -Force
}
Como alternativa, você pode usar a Diretiva de Grupo para criar uma tarefa agendada que use o comando TASKKILL para obter a mesma coisa.
Um outro comentário: algumas pessoas têm defendido o declínio das atualizações de segurança que incluem a oferta de atualização. Eu não recomendo isso. Se você seguir o que eu listei acima, você não precisa se preocupar com o que você aprova no WSUS.