GPO para que un usuario solo pueda ejecutar ciertos programas en una máquina no perteneciente a un dominio

La manera más sencilla de realizar esta tarea es abriendo la MMC:

Añadimos el editor de objetos de directiva de grupo desde el menú Agregar o quitar complemento en Archivo.

En el momento de seleccionar el objeto, examinamos los usuarios existentes:

Y ahora en la pestaña de usuarios seleccionamos el usuario previamente creado (externo en el ejemplo):

                Finalizamos y aceptamos en la ventana de Agregar y quitar complementos.

                En este momento podemos editar la GPO que vamos a vincular a este usuario y la directiva en concreto que nos interesa es Ejecutar solo aplicaciones especificadas de Windows dentro de la carpeta de Sistema

                Habilitamos dicha directiva y dentro especificamos la ruta del programa al que queremos que tenga acceso.

Nota: Hay que tener cuidado con las dependencias de dicho programa.