Na verdade, a resposta é bem simples! No GPO para os três subsites, use a configuração Use client side targeting
e atribua a ela um nome (digamos, "Clientes"). Agora crie uma pasta em Todos os computadores no console do WSUS com o mesmo nome do GPO (no nosso caso, é "Clientes"). Além disso, nas réplicas, vá para opções e, em seguida, para computadores e defina Use group policy or registry settings on computers
. Agora todos os computadores das redes downstream começarão a aparecer na pasta "Clientes" no WSUS upstream. Agora, ao aprovar as atualizações do servidor, desmarque a pasta Clientes e, assim, as atualizações do servidor não serão aprovadas / baixadas para os sites de réplica.