Q: У меня вот такой вопрос, когда ограничиваешь доступ к приложениям
через Workgroup Manager для группы пользователей, то приложения
которые ты разрешаешь или запрещаешь должны физически быть на сервере?
Сергей

A: Нет не должны.
Ниже более развернутый ответ.

Речь о “политиках” для Mac OS X – технологии MCX (Managed Client for X).
Кстати, это та же самая технология, что применяется и в Parental Controls на одной отдельно взятом Маке. Да и сам WGM можно использовать и на отдельно взятой машине (см. например, ролик на seminars.apple.com)

(На экране Workgroup Manager; стрелочкой помечены пункты, для которых заданы какие-то “политики”)

Мы можем указать (в Workgroup Manager, dscl), какие программы может запускать пользователь. Внимание! Подходите к этому вдумчиво; пользователь сможет запускать только явно разрешенные приложения, все неуказанные приложения использовать запрещено.

При этом, как и для ряда других краеугольных технологий Mac OS X (например, встроенный в систему брандмауэр) будет использоваться цифровая подпись (man codesign).

Когда вы добавляете какую-то программу в правила брандмауэра (System Preferences/Security/Firewall), эта программа подписывается автоматически.
Workgroup Manager же сообщит вам, если программа не подписана (все системное ПО подписано; подробно о code signing на developer.apple.com):

и даст вам возможность подписать программу

Теперь эту программу надо сделать доступным на всех компьютерах (например, с помощью Apple Remote Desktop, /Network/Applications, или подумав об этом на этапе создания образа).