不要让域计算机相互通信

如果您有一个支持它的交换机，那么Wi-Fi上的接入点的“有线连接的受保护端口”或“客户端隔离”可以帮助您消除同一个第2层networking中的主机之间的stream量。

例如，这是来自Cisco交换机手册：

受保护的端口具有以下特征：受保护的端口不会将任何stream量（单播，多播或广播）转发到也是受保护端口的任何其他端口。 数据stream量不能在二层保护端口之间转发; 只有控制stream量（如PIM数据包）才被转发，因为这些数据包由CPU处理并通过软件转发。 所有通过保护端口的数据stream量都必须通过三层设备进行转发。

所以如果你不打算在它们之间传输数据，那么一旦它们被“保护”就不需要采取行动。

保护端口和非保护端口之间的转发行为照常进行。

您的客户端可以被保护，DHCP服务器，网关等可以在不受保护的端口上。

2017年7月27日更新
正如@sirex所指出的那样，如果您有多个不堆叠的交换机，意味着它们实际上不是一个交换机，那么受保护的端口将不会阻止这些交换机之间的通信 。

注意：某些交换机（如专用VLAN Catalyst交换机支持列表中指定的）目前仅支持PVLAN Edgefunction。 术语“受保护的端口”也指这个特征。 PVLAN边缘端口有一个限制，可以防止与同一台交换机上的其他受保护端口进行通信。 但是，在单独的交换机上受保护的端口可以相互通信。

如果是这种情况，您需要隔离的专用VLAN端口：

在某些情况下，您需要防止交换机上的terminal设备之间的第2层（L2）连接，而无需将设备放置在不同的IP子网中。 这个设置防止了IP地址的浪费。 专用VLAN（PVLAN）允许在同一IP子网中的设备的第2层进行隔离。 您可以限制交换机上的某些端口只到达连接了默认网关，备份服务器或Cisco LocalDirector的特定端口。

如果PVLAN跨越多台交换机，交换机之间的VLAN中继应该是标准的VLAN端口。

您可以使用中继在各个交换机之间扩展PVLAN。 中继端口承载来自常规VLAN以及主要隔离VLAN和社区VLAN的stream量。 思科build议使用标准中继端口，如果两台经过中继的交换机都支持PVLAN。

如果您是Cisco用户，则可以使用此matrix查看交换机是否支持您需要的选项。

你可以做到这一点，如果你做了一个像每个客户端1子网一样可怕的东西。 这将是一个pipe理噩梦。

具有适当策略的Windows防火墙将对此有所帮助。 你可以做一些像域隔离，但更多的限制。 您可以对每个OU执行规则，将服务器安装在一个OU中，将工作站安装在另一个OU中。 您还需要确保打印机（和服务器）与工作站不在同一个子网上，以使其更简单。

https://technet.microsoft.com/en-us/library/cc730709(v=ws.10).aspx

关于networking打印机 – 如果您不允许直接打印，您可以更容易，但将打印机作为打印服务器的共享队列。 由于多种原因，这已经是一个很好的主意了。

我可以问一下这个实际的业务目标是什么？ 是否有助于防止恶意软件爆发？ 记住大局/终点线有助于定义需求，因此应始终成为问题的一部分。

如果您可以将每个工作站绑定到特定的用户，则只允许该用户访问该工作站。

这是一个域策略设置：本地login权。

这并不妨碍用户到最近的工作站并input他/她的密码来访问他/她的指定机器，但是它很容易被检测到。

而且这只会影响与Windows相关的服务，所以机器上的networking服务器仍然可以访问。