如何实现未加入域的计算机不能访问域内的资源？比如我在某台计算机上设置一个共享文件夹。加入域的计算机都可以正常访问。正常情况，未加入的计算机输入域帐号和密码也可以访问。

但是我要实现的就是没有加入域的计算机，就算拥有了账号和密码也不能访问这个资源。（共享文件夹只是个例子，域内还有其他的服务，比如MOSS和其他非微软的产品服务）。

通过ISA（TMG）、IPSEC、NAP这些是否可以实现？如果有更好的解决方案，请推荐。

回答：根据您的描述，目前只有通过IPSec实现域隔离能满足您的要求。ISA（TMG）和NAP更偏向于网络接入控制这一部分，可能无法满足您的需要。

---yalin_M

根据您的描述，您想要加入域的计算机可以正常访问资源比如说共享文件夹，但是未加入域的计算机即使拥有域账户和密码也不能访问该资源。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

我们可以通过在资源服务器和未加入域的计算机之间部署ISA（TMG）来实现。主要步骤：

1.       在资源服务器和客户机之间部署ISA（TMG），并设计为必须经由ISA访问资源服务器，无其他额外的连接。

2.       这里我们假设加入域的计算机IP为192.168.1.50-150，未加入域的计算机IP地址段为192.168.1.151-200，在ISA中设置访问策略允许192.168.1.50-150地址段的客户机的访问资源服务器，192.168.1.151-200地址段的客户机拒绝访问资源服务器。

ISA的策略可以基于IP地址，基于协议，基于用户等等，如果您有其他的服务访问，请在实际网络拓扑中灵活配置。由于ISA的策略部署必须和网络拓扑结合考虑，所以如果您想要详细的部署方法，请您提供您的具体网络拓扑。 

更多ISA规划、维护以及部署资料，请查看以下的链接：
http://www.microsoft.com/china/technet/prodtechnol/isa/default.mspx

Dean Zhou

未加入域不能访问域内资源的相关文章请参考
禁止未加入域电脑访问域资源
不加入域不能访问域资源
－－－gnaw0725