不允许域计算机相互通信

如果您有一个支持该功能的交换机，有线连接的“受保护端口”或 Wi-Fi 接入点的“客户端隔离”可以帮助您消除同一第 2 层网络中主机之间的流量。

例如，这是来自思科交换机手动的：

受保护端口具有以下特点：受保护端口不会将任何流量（单播、多播或广播）转发到任何其他受保护端口。数据流量无法在第 2 层在受保护端口之间转发；只有控制流量（例如 PIM 数据包）才会转发，因为这些数据包由 CPU 处理并通过软件转发。在受保护端口之间传递的所有数据流量都必须通过第 3 层设备转发。

因此，如果您不打算在它们之间传输数据，则一旦它们受到“保护”，您就无需采取行动。

受保护端口和非受保护端口之间的转发行为照常进行。

您的客户端可以受到保护，DHCP 服务器、网关等可以位于不受保护的端口上。

更新 2017 年 7 月 27 日
正如 @sirex 指出的那样，如果你有多个未堆叠的交换机，这意味着它们实际上不是一个交换机，受保护的端口不会阻止这些之间的交通。

注意：某些交换机（如 Private VLAN Catalyst 交换机支持矩阵中所述）目前仅支持 PVLAN Edge 功能。术语“受保护端口”也指此功能。PVLAN Edge 端口具有限制，可防止与同一交换机上的其他受保护端口进行通信。但是，不同交换机上的受保护端口可以相互通信。

如果是这种情况，你需要隔离专用 VLAN端口：

在某些情况下，您需要防止交换机上的终端设备之间的第 2 层 (L2) 连接，而无需将设备放置在不同的 IP 子网中。此设置可防止浪费 IP 地址。私有 VLAN (PVLAN) 允许在同一 IP 子网中的设备在第 2 层进行隔离。您可以限制交换机上的某些端口仅到达连接了默认网关、备份服务器或 Cisco LocalDirector 的特定端口。

如果 PVLAN 跨越多个交换机，则交换机之间的 VLAN 中继应该标准 VLAN端口。

您可以使用中继将 PVLAN 扩展到交换机之间。中继端口可承载来自常规 VLAN 以及主 VLAN、隔离 VLAN 和社区 VLAN 的流量。如果进行中继的两个交换机都支持 PVLAN，则 Cisco 建议使用标准中继端口。

如果你是思科用户，你可以使用这个矩阵查看您的交换机是否支持您需要的选项。

如果您做了一些可怕的事情，例如为每个客户端创建 1 个子网，那么您就可以这样做。这将是一场管理噩梦。

具有适当策略的 Windows 防火墙将有助于解决此问题。您可以执行类似域隔离的操作，但限制性更强。您可以按 OU 强制执行规则，将服务器放在一个 OU 中，将工作站放在另一个 OU 中。您还需要确保打印机（和服务器）与工作站不在同一个子网上，以使此操作更简单。

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

关于网络打印机 - 如果您不允许直接打印，而是将打印机托管为打印服务器的共享队列，则可以使此操作更加简单。出于多种原因，这长期以来一直是一个好主意。

我可以问一下这个的实际业务目标是什么吗？是为了帮助防止恶意软件爆发吗？牢记大局/终点线有助于定义需求，因此这应该始终是你的问题的一部分。

如果您可以将每个工作站绑定到特定用户，则您只能允许该用户访问该工作站。

这是一个域策略设置：本地登录权限。

这并不能阻止用户前往最近的工作站并输入他/她的密码来访问他/她指定的机器，但是很容易被检测到。

此外，这只会影响与 Windows 相关的服务，因此机器上的网络服务器仍然可以访问。