AleXanderius

Оптимально, как мне кажется - жесткое ограничение системы по правам (и сети по ВЛАНам).
+ перезаливка эталонных образов систем каждую чверть/семестр (такой подход практикуется на платформах ,которые проводят курсы).

Всегда найдется тот, кто обойдет запрет.
Основная задача - не дать навредить кому-либо, кроме себя, и оперативно устранить "брешь", вовремя поправив групповые политики.

*сугубо мое ИМХО, конечно )

У них комплектом идет бот - @telegraph
Через него можна авторизоваться на сайте и персонализировать статьи.
Это позволяет работать со своими статьями с разных мест без дополнительных плясок с куками.

Вы говорите о WSUS-сервере.
Его можно и "носить с собой", но есть момент - все ПК сети должны быть на него настроены.

Альтернативой вполне может оказаться
https://www.wsusoffline.net/

Достаточно носить с собой флешку и запускать клиента с нее.
Либо запускать клиента с сетевой шары в сети...