Sophos AV mit Enterprise Manager.
Ich habe das einen Monat lang als Testversion betrieben - kann genau das was Du möchtest. Der lokale User ist dem Update hilflos ausgesetzt und kann nur zusehen, wie sich in Stoßzeiten stündlich das Updatefenster im Hintergrund öffnet ;D ;D.
Im Manager kann der Admin auch gleich sehen, in welchem sonstigen Zustand die Rechner sind ...
Allerdings solltest Du vorher mit Sophos abklären, ob sich auch Maschinen unter Windows XP updaten lassen - da hatte ich Probleme, um deren Lösung ich mich aber nicht weiter kümmern konnte.
Warum nur testweise bei uns?:
Da wir eine Sophos-Campuslizenz haben arbeiten wir jetzt wieder direkt über das zentrale Rechenzentrum und "Remote Update" - eine Kostenfrage ...