Hallo iam,
Wenn in der GPO der Haken bei Updates für andere MS-Produkte installieren steht (ist im Screenshot nicht der Fall), dann sollte diese wirken und im regulären Windows Update-Menü die Option ausgegraut sein.
Es ist aber die Frage, ob Sie hier die lokale oder die globale GPO am (Domain-Controller) bearbeitet haben. Falls dort (global) nämlich die Updates konfiguriert wurden (was nicht untypisch ist) diese Einstellungen - falls gegensätzlich - Vorrang vor den lokalen haben. In diesem Fall würde ich vermuten, dass kein Gegensatz vorliegen muss (falls der Hacken einen separaten Eintrag bedingt). Besser ist aber, nur in der globalen GPO zu arbeiten (zumindest muss man wissen, was dort konfiguriert ist und was nicht). Lokale Einstellung sollte nur vornehmen, wer die Globalen kennt und Wechselwirkungen ausschließen kann.
PS: Normalerweise müsste der Haken zwar ausgegraut aber auf "ein" stehen, wenn eine entsprechende GPO dies aktivierte.
Nach Änderung der GPO müssen diese erneut eingelesen werden ( sofort: Eingabeaufforderung -> gpupdate /force, ansonsten findet dies nach bestimmten Abständen und natürlich immer beim Neustart auch automatisch statt).
Es ist auch zu beachten, dass die Anzeigen der Einstellungen in der grafischen Windows-Oberfläche erst mit der Suche nach Updates aktualisiert werden (zumindest bei Server 2016).
Vorschlag: Konfiguration global vornehmen (lokal dann auf "nicht konfiguriert", oder den Bereich Updates dort auslassen ("nicht konfiguriert") und dafür bei allen Rechnern lokal definieren (über GPO - dann kann nicht jeder da ändern - oder über die Windows Einstellungen).