怎样禁止未加入域电脑访问域资源

时间太久了，记不太清楚，你可以修改域控制器中的共享资源权限，或者你为该共享设置GDLP规则，即将全局组加入本地域组，然后为该共享文件设置本地域组访问权限，删除everyone组权限。其实我记得在域控里应该有个防止非域计算机访问共享权限的，你再仔细找找。

可以通过在资源服务器和未加入域的计算机之间部署ISA（TMG）来实现。主要步骤：

1. 在资源服务器和客户机之间部署ISA（TMG），并设计为必须经由ISA访问资源服务器，无其他额外的连接。

2. 这里我们假设加入域的计算机IP为192.168.1.50-150，未加入域的计算机IP地址段为192.168.1.151-200，在ISA中设置访问策略允许192.168.1.50-150地址段的客户机的访问资源服务器，192.168.1.151-200地址段的客户机拒绝访问资源服务器。

ISA的策略可以基于IP地址，基于协议，基于用户等等，如果您有其他的服务访问，请在实际网络拓扑中灵活配置。由于ISA的策略部署必须和网络拓扑结合考虑，所以如果您想要详细的部署方法，请您提供您的具体网络拓扑。

---