いくつか前に
・(PCが社内LANに接続されていれば)パッチ適用が遠隔でできる
・(PCが社内LANに接続されていれば)遠隔で設定変更。ポリシー変更(パーソナルファイアーウォールなど)が自由にできる
と書いたが、どちらもpuppetで実現可能だ.

パッチ適用は、アップロードしたい各パッケージで、 ensure => latest とし、 yumレポジトリでrpm設置 + createrepo とするのがよいだろう。
もちろん全PCに全Fixを当てたいなら話は別だが、できる限りFixを絞ってあてる(緊急のセキュリティ脆弱性 or 致命的なバグのみ)などの場合にはあてなくてはいけないパッケージはかなり絞られる.
実際RHELのセキュリティ報告を読むと、緊急の脆弱性のほとんどがFireFox関連で、他はsamba, kadmind などクライアントでは必要の無いパッケージとなっている。そのため、アップデートは、Firefox, seamonkeyなどだけでとりあえず大丈夫だろう。
(緊急はおおよそワームに狙われる脆弱性)

ポリシー変更については意味が広いのでアレなのだが、パスワードポリシーと設定変更にわけて考えると、
前者はFreeIPAのkerberos daemonで実施し、設定変更はpuppetで実施する。
(FreeIPAは、MIT kerberos+fedora directory server+bindで認証統合を行うパッケージ )
設定変更は各設定で方法が違うので一般化はできないが、
1. 設定ファイルをマニフェストに記述
2. サービスリロード
で大抵は実施する。