不允许域计算机相互通信

我们的域包含大约60台计算机。我的任务是确保Windows 10工作站无法相互通信。我的经理要求我创建静态路由，以便计算机只能与网络打印机，文件服务器，DC通信并访问Internet。

由于所有这些计算机都在同一网络上，所以我不认为静态路由会阻止这些计算机互相看到。允许域中的计算机使用网络资源但不直接相互通信的最佳方法是什么？

如果您有支持它的交换机，则用于有线连接的“受保护的端口”或用于Wi-Fi接入点的“客户端隔离”可以帮助您消除同一第2层网络中主机之间的流量。

例如，这来自Cisco交换机手册：

受保护的端口具有以下功能：受保护的端口不会将任何流量（单播，多播或广播）转发到也是受保护的端口的任何其他端口。数据流量无法在第2层的受保护端口之间转发；仅转发控制流量，例如PIM数据包，因为这些数据包由CPU处理并在软件中转发。受保护端口之间传递的所有数据流量都必须通过第3层设备转发。

因此，如果您不打算在它们之间传输数据，则一旦它们受到“保护”就不需要采取任何措施。

受保护的端口和不受保护的端口之间的转发行为照常进行。

您的客户端可以受到保护，DHCP服务器，网关等可以位于不受保护的端口上。

更新
27-07-2017正如@sirex指出的，如果您有多个未堆叠的交换机，这意味着它们实际上不是单个交换机，则受保护的端口将不会阻止这些交换机之间的通信。

注意：某些交换机（如“专用VLAN催化剂交换机支持列表”中指定）目前仅支持PVLAN Edge功能。术语“受保护的端口”也指此功能。PVLAN Edge端口具有一项限制，可以阻止与同一交换机上的其他受保护端口进行通信。但是，单独的交换机上受保护的端口可以相互通信。

如果是这种情况，则需要隔离专用VLAN端口：

在某些情况下，您需要在不将设备放置在不同IP子网中的情况下，防止交换机上终端设备之间的第2层（L2）连接。此设置可防止浪费IP地址。专用VLAN（PVLAN）允许在同一IP子网中的设备的第2层进行隔离。您可以限制交换机上的某些端口，使其只能访问具有默认网关，备份服务器或Cisco LocalDirector连接的特定端口。

如果PVLAN跨越多个交换机，则交换机之间的VLAN中继应为标准VLAN端口。

您可以使用中继线在交换机之间扩展PVLAN。中继端口承载来自常规VLAN以及主VLAN，隔离VLAN和社区VLAN的流量。如果两个经过中继的交换机均支持PVLAN，则Cisco建议使用标准中继端口。

如果您是Cisco用户，则可以使用此矩阵查看交换机是否支持所需的选项。

如果您做的事情太糟糕了，例如每个客户端只能创建1个子网，则可以执行此操作。这将是管理层的噩梦。

具有适当策略的Windows防火墙将对此提供帮助。您可以执行类似域隔离的操作，但限制更大。您可以对每个OU实施规则，将服务器放在一个OU中，将工作站放在另一个OU中。您还需要确保打印机（和服务器）与工作站不在同一子网中，以简化此操作。

https://technet.microsoft.com/zh-CN/library/cc730709(v=ws.10).aspx

关于网络打印机-如果您不允许直接打印，而是将打印机作为来自打印服务器的共享队列托管，则可以使此操作变得更加容易。长期以来，出于多种原因，这一直是一个好主意。

请问这的实际业务目标是什么？是否有助于防止恶意软件爆发？牢记全局/完成线有助于定义需求，因此这应该始终是您的问题的一部分。

如果可以将每个工作站绑定到特定用户，则只能允许该用户访问该工作站。

这是一个域策略设置：本地登录权限。

这不会阻止用户去最近的工作站并输入他/她的密码来访问他/她的指定机器，但是很容易检测到。

同样，这仅影响与Windows相关的服务，因此仍可以访问计算机上的Web服务器。