připadá mi zbytečné nechat sp2 stahovat občas vzájemně nekompatibilní záplaty, než se konečně stáhne sp3 a začne se v nevhodnou chvíli přes celý ten guláš instalovat.
nejdřív bych rozkopíroval instalačku sp3 a nechal ji spustit, pak update agent v3 jak píšeš (nemá ho ani sp3), poslední msi installer, pak ať se windows o sebe starají samy.

prakticky už jsem s nápadem zavést ve výrobě automatické aktualizace skončil poté, co se špatným nastavením wsus stahoval jen nesmyslný balast a přesto bylo nutné 3 pc obnovit ze zálohy.
po nejbližších automatických zálohách: kde chybí, updatnem na sp3. pak se doinstaluje asi 40 kritických hotfixů - pouze typu "Remote Code Execution".
z těchto pc se nepřistupuje na internet, neppotřebujeme proto látat hlouposti v děravých aplikacích (ie, wmp, .net fw apod.)