O pouco sobre ter usuários remotos em contato com o Windows Update pode exigir um pouco de esforço, dependendo de como sua VPN está configurada, mas o resto é muito possível. É muito fácil usar os GPOs para atribuir diferentes servidores WSUS ao cliente em diferentes sites do AD, e os sites do AD são definidos por sub-rede. Supondo que tudo esteja configurado corretamente, isso é tarefa simples . Basicamente, você acabou de criar um GPO para cada site para definir o servidor WSUS apropriado e vinculá-lo à UO apropriada.
Quanto aos usuários da VPN, isso depende de como a VPN está configurada e se os usuários da VPN têm seu próprio site ou unidade organizacional no Active Directory. Se não, pode valer a pena considerar a criação de um para seus usuários de VPN para tornar isso mais fácil de realizar.