Veja o que fiz para um cliente multinacional:
-
Verifique se os Serviços e Sites do Active Directory estão configurados para todos os seus sites.
-
Verifique se você tem as sub-redes apropriadas criadas e associadas aos sites apropriados.
-
Crie um GPO do WSUS para cada site que segmenta clientes nesses sites para o servidor WSUS local.
-
Vincule cada GPO ao site apropriado.
Os clientes do WSUS se "abrigarão" para o site local do WSUS com base na sub-rede para a associação de sites.
Para seus clientes VPN, supondo que eles vão VPN em cada local, quando necessário, eles também se hospedam no servidor WSUS local para qualquer local em que eles estejam conectados VPN.
Não há necessidade de filtragem de segurança nos GPOs e não é necessário vinculá-los a algo diferente de cada site. Você não precisa aplicar o GPO.