Добрый день!
Есть домен, внего включены компьютеры, но так же имеется и рабочая группа. Существует необходимость закрыть доступ из домена к рабочей группе. Выставление в пользователе конкретных компьютеров не помогает.

как вариант - уберите рабочую группу в отдельную сеть, и с помощью VLAN или с помощью отдельного роутера.

Ещё вариант — разработать и внедрить политики IPSec. Вопрос не пятиминутный.

как вариант - уберите рабочую группу в отдельную сеть, и с помощью VLAN или с помощью отдельного роутера. »
Неужели просто нельзя в настройках сетевого окружения убрать видимость раб.группы?
Может, ему наоборот из раб.группы в домен ходить надо.

Рабочая группа находиться на 192.168.1.х, КД-192.168.1.1, а компы которые включены в домен 192.168.2.х с расширеной маской 255.255.0.0 и еще на компах стоит 7-ки и очень нужно чтобы они видели ни кого кроме за доменом.

убрать видимость раб.группы? »
автор просил убрать доступ.
из раб.группы в домен ходить надо »
правила для VLAN, а с маршрутизатором и правил не нужно.

Видмо ввел в звблуждение народ. Нужно чтоб, компы в домене видели только компы домена, а не раб группы

видели »
какой смысл вы вкладываете в это слово?

Были видны в сетевом окружении и был доступ к их общим папкам. Я не сильно разбираюсь в таких тонкостях вот и прошу помощи.

Негодный подход. Мы вообще убрали сетевое окружение и поддержку NetBios групповыми политиками, ибо ничего они кроме геммора не доставляют в итоге (с ростом организации особенно). Присмотритесь к DFS и тем же групполиси (юзерам прицепляются нужные им папки как сетевые диски, к примеру; либо банально ярлыки раскидать по раб.столам).
Поясню. Помимо неслабого уменьшения широковещательного мусора в сетке, дает еще и потенциальную возможность обратить внимание руководства на творящийся беспредел в сфере разрешений на сетевые папки и начать что-то делать с практически всеобщим пох*измом разнокалиберного начальства на вопросы по документообороту и роли ИТ в нем. Нас реально перестали доставать с разрешениями через год (раньше увы, не получится... наверное), теперь сами решают где, кому и какие доки требуются. НАУЧИЛИСЬ! И последнее - правильно. Начальник отдела сбыта ОБЯЗАН знать какие договора у него расшарены и кому, и уже на основе этих данных давать задачу ИТ отделу на расшаривание еще кому-то, а вовсе не ИТ отдел должен выполнять за свою зарплату его работу.

Это их документы, не наши. Поймите. Они САМИ должны рулить этим, а не какой-то Вася Пупкин. Иначе так и будет "ставиться опенофис на всю контору из-за внезапно всплывшего желания сисадмина поссорившегося со своей женой" как в госучреждениях, где всем на всё пофигу. И эффективность работы такой конторы будет зависеть от айтишнега принимающего решение, а не от директора к примеру. Оно кому-то надо? У вас зп директора и вы рулите в продажах? Чего вы тогда забыли в ИТ?
ИТ отдел просто должен обеспечивать [бесперебойный] доступ к этим докам: есть разрешение - ОК, нет разрешения - идите на... то есть к своему начальству, и решайте там САМИ кому, чего и зачем надо. По выполнению своей работы начальство может дать (а может и не дать) отмашку айтишнегу - базовый алгоритм несложен даже для детсада.

P.S. Замените "начальника отдела" на "директора фирмы", а "ИТ отдел" на "приходящего компутерщика" - суть не поменяется.

с расширеной маской 255.255.0.0 »
Зачем она расширенная? Поставьте 255.255.255.0 и не будут видеть рабгруппу.
Почему КД с адресом подсети рабгруппы? Переместите в подсеть 192.168.2.0

Они САМИ должны рулить этим, »
Они должны, но именно они решают, что они "должны", а не Вы.

т.к на сервере лежат базы скоторыми работает именно с раб группы и http сервер трафик инспектора там но если сделать маску 255.255.255.0 тогда на компах домена инета не будет

т.к на сервере лежат базы скоторыми работает именно с раб группы и http сервер трафик инспектора там но если сделать маску 255.255.255.0 тогда на компах домена инета не будет »

Доступ с рабгруппы на сервер зависит от настройки маршрутизации, совсем не обязательно они должны быть в одной подсети.
А как у Вас подается интернет? Какое оборудование используется для маршрутизации?

Есть модем (192.168.1.62), сервер 2 сетевухи (192.168.1.61 и 192.168.1.1) на клиентах настройка сети такая: которые в домене IP 192.168.2.2
маска 255.255.0.0
шлюз 192.168.1.62

ДНС 192.168.1.1
213.158.16.5

Имхо, надо поставить третью сет.карту на сервер специально для раб.группы и прописать на ней подсеть 192.168.3.0/24, а серверную 192.168.1.1->192.168.2.1/24
И раб.группа и домен будут ходить в И-нет через 192.168.1.61, соединенную с 192.168.1.62

Они должны, но именно они решают, что они "должны", а не Вы. »
Неправильно. В большинстве контор не решают, а пускают на самотёк. Мне продвинуть свою точку зрения заняло год и кучу нервов, но оно того стоило - контора (в целом) избавилась от массы проблем, а у меня профессиональный левелап. А у вас?

Мне продвинуть свою точку зрения заняло год и кучу нервов »

У Вас семь пятниц на неделе, то Вы недовольны, что начальник не занимается планированием ИТ-вопросов, то недовольны долгим внедрением "своего планирования" этих вопросов вопреки начальническому.
Имхо, начальник не должен сильно заниматься ИТ-планирование, а больше доверять сисадмину, делегировать полномочия в силу своей недостаточной компетенции по сравнению с админом.
Но спорить об этом можно бесконечно, поэтому лучше не надо.

Я считаю что тот сис админ хорош который может сам спланировать и потом по необходимо растолковать свою идею начальству.