做AD运维的小伙伴们是不是经常遇到一些情况，有员工的电脑不愿意加域，也有员工拿自己的笔记本来访问公司的资源，有没有什么办法可以限制没加域的电脑或电脑加域了而不用自己域帐号登录电脑呢，方法有很多，但我们也可以利用windows防火墙的规则来限制不加域的电脑或不用域帐号登录的电脑访问域中的服务器或资源，比如限制访问文件共享，打印机共享，ERP应用等等。

目录有个需求，客户公司里部署了AD域控，全部电脑都已加入域，有一台代码服务器，研发人员的电脑上都安装了绿盾加密软件，代码的SVN服务器上可以直接读取代码，SVN客户端软件在连接SVN服务器也是明码可以看到代码文件，绿盾加密软件是他们自己部署的，加密解密的策略我不清楚怎么做的，SVN客户端是通过Https 443端口连接SVN服务器的，客户要求SVN服务器要指定的客户端电脑（比如研发部的电脑）才可以访问，用户的笔记本，其它部门的电脑不能访问，常规的防火墙策略或在交换机上写ACL策略可以限制IP地址或IP段拒绝或允许访问，但如果用户自己手动修改IP还是无法阻止。

2.新建1条组策略“允许部分计算机可以访问SVN服务器”，安全筛选项里删除默认的“Authenticated Users” 并添加刚才新建的安全组“SVN访问计算机安全组”，以只使这个安全组中的计算机才启用这个组策略

组策略设置好以后，SVN服务器和电脑客户机需要重启2次（安全组筛选策略需要重启2次才能应用到组策略），SVN服务器和客户机电脑应用到组策略后，只有这个安全组中的电脑以域用户登录的时候才能连到到SVN服务器，其它部门的电脑，员工拿自己的笔记本等都不到访问到SVN服务器了，这样用windows防火墙组策略，就实现了允许或拒绝部分电脑访问服务器的资源。