Você precisará organizar seus computadores. Não há como obter a identidade de um usuário para ditar a política do WSUS; o que acontece quando alguém faz login? Ou quando ninguém está logado?
O processamento de loopback permite que os GPOs vinculados por computador sejam aplicados ao usuário, mas não funciona ao contrário.
Configure uma política para todo o domínio para bloquear todos os computadores no servidor do WSUS. Use a segmentação do lado do cliente e faça com que a política global segmente os computadores em um grupo que não receberá patches aprovados regularmente.
Em seguida, tenha políticas mais específicas do lado do cliente-alvo em grupos para os quais você está regularmente aprovando patches. Os programadores podem não querer que você atualize o software, mas isso não significa que você não deva colocá-los no inventário para ver o quanto eles estão atrasados. A abordagem "não veja o mal" é imprudente.