Если Вы установлены при использовании поля Server2008 как Ваш брандмауэр, то можно хотеть рассмотреть использование ISA.
Если у Вас нет их компьютером подключенный к серверу OpenDirectory (предпочтительный способ сделать, это должно ограничить запуск приложения через менеджера по Рабочей группе), можно установить полномочия на приложении App Store, чтобы не позволить пользователям выполнять его:
chmod -R 000 /Applications/AppStore.app
Это мешает любому запускать приложение. Это может быть выставлено через ARD, может быть добавлено к Вашему базовому изображению и может быть установлено в сценарии запуска.
Я понятия не имею, что это сделает к другим приложениям, работающим на системе, таким образом, необходимо будет протестировать ее сначала.
ITunes Store соединяется на стандартных портах HTTP (S), 80 и 443, таким образом, я предполагаю, что Mac App Store делает то же.
Вот статья базы знаний Apple при блокировании хранилища iTunes URL: http://support.apple.com/kb/HT3303
Это говорит
Чтобы препятствовать тому, чтобы клиентские компьютеры соединились с iTunes Store, администраторы сети могут заблокировать Узел Интернета 'itunes.apple.com'.
От быстрого tcpdump кажется, что App Store использует тот же URL... на данный момент.
Можно также отредактировать Схему Active Directory так, чтобы она содержала дополнительную информацию, которая эмулирует MCX (подобный Групповым политикам). Можно затем войти AD сервер от менеджера по Рабочей группе на Mac, импортировать AD пользователей/группы как увеличенные записи и заблокировать приложение. Это - большая работа для блокирования одной вещи, однако в конечном счете это означает, что у Вас есть тонна больше управления Вашими макинтошами.
Вот ссылка на вебинар Apple, который обходит Вас через шаги и объясняет (лучше и более подробно), что я говорил о вышеупомянутом:
http://seminars.apple.com/seminarsonline/modifying/apple/index.html?s=301
и вот PDF (не уверенный, если это является недавним),
http://www.sticts.ch/MacWindows/Modifying_the_Active_Directory_Schema.pdf