Você pode colocar os dois servidores em uma OU e aplicar um GPO a essa OU que impeça a instalação automática de atualizações (e a reinicialização subseqüente) ou, alternativamente, você pode deixar os servidores onde eles estão no AD, criar um grupo de segurança e torne os membros dos computadores servidores, em seguida, aplique um GPO na raiz do domínio filtrado pelo grupo de segurança que você criou, de forma que apenas os membros desse grupo possam aplicar a diretiva.
De qualquer maneira vai funcionar. Eu geralmente tenho todos os meus computadores servidor abaixo de uma única OU (com exceção de computadores de controlador de domínio) e só tem um GPO "servidores de membros e controladores de domínio" que inclui esse tipo de configuração vinculado na unidade organizacional "Controladores de domínio" e o topo OU da hierarquia de UOs que contêm os computadores do servidor membro. (Eu quase nunca permito que os servidores apliquem atualizações e reinicializem por conta própria.)