WSUS | clients miraculously pull updates who are not approved.

UNDER CONSTRUCTION

Problem:

All Windows 10 clients and Windows 2019 servers suddenly got their updates not from WSUS but directly from Microsoft. Since I wanted to be in control of my updates, I looked into the problem and also found the cause “Dual Scan”.

Lösung:
Dualscan wird immer dann aktiviert, wenn man per GPO einen WSUS-Server den Clients zuweist und gleichzeitig Qualitäts- oder Feature-Updates zurückstellt.

“Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update” den Punkt “”Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird” Diesen aktivieren Sie und danach wird der Client wieder seine Updates vom WSUS beziehen.
Sollte eine GPO nicht möglich sein, dann können Sie das Ganze auch über die Registry steuern:

Registry Path: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Value Name: DisableDualScan
Value Type: REG_DWORD
Values: 1 (Enabled) oder 0 (Disabled)

https://hope-this-helps.de/serendipity/archives/Windows-10-Server-2016-Client-bezieht-seine-Updates-direkt-von-WU-und-nicht-mehr-vom-WSUS-Dual-Scan-563.html

https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan