仅允许已知计算机登录域

您的评论使事情看起来更加清晰。

802.1X或 IPSEC，使用证书部署在每台客户端计算机上以允许客户端设备身份验证，将为您提供所需的安全环境。如果您实际上没有对客户端设备进行身份验证，那么就无法轻松阻止未经授权的设备连接到网络介质（必要时使用伪造的 IP 或 MAC 地址）。

如果用户可以物理操纵客户端设备（即试图从设备中窃取证书），那么设备身份验证也是无用的。

但是，假设您可以将设备证书存储在一个合理防篡改且无法实际访问的位置，那么您就可以创建一个非常安全的环境，以防止未经授权的设备使用 802.1X 或 IPSEC 连接到网络介质并用于访问服务器。

基本上“埃文所说的”，强调在正常操作中扰乱默认行为是一个坏主意。

如果你真的想要，你可以用以下信息烹饪一些东西此知识库文章（以及您自身的一些想象力）。

另一种方法是使用“将工作站添加到域”GPO 设置（文档这里）。

mh，Evan 是正确的，但是这种设置对你来说似乎“不正常”。

在 Google 上搜索有关如何设置 ipsec 域隔离的 Microsoft 文档，例如这个http://www.microsoft.com/downloads/details.aspx?FamilyId=5ACF1C8F-7D7A-4955-A3F6-318FEE28D825&displaylang=en

我使用了许多这些文档来了解如何在我的家庭局域网上进行设置。我对所有 ipsec 策略使用协商模式。这使我的所有域流量都安全，但允许外部客户端在需要时进行连接。我使用 kerberos 进行身份验证而不是 pki 服务器，因为它更易于管理，但我正在努力完成 pki 服务器设置。

您的其他选择是来自第三方安全供应商的产品，例如 symantec，www.symantec.com/business/network-access-control

还有其他人允许同样的场景。哎呀，你甚至可以在每个客户端/服务器上使用防火墙，并制定策略只与允许列表中的 IP 进行通信，并使用 dhcp 注册系统保留所有 mac/ip 的列表。windows 2008 r2 现在有 dhcp mac 注册选项，我读过一些相关内容，可以编写脚本以便以后做一些有趣的事情。