除了使用固定ip的方式或是用L2的Switch直接把MAC Address定義上之外
或許可以試著使用PROXY SERVER
讓每一台要對外的電腦均需要藉由PROXY SERVER進出
然後在PROXY SERVER上設定使用者權限
沒有權限則無法上網
未登入網域，則需額外輸入使用者名稱
這樣就可以直接捉到人啦..
也可以捉到他的MAC
既然有MAC，那就給他鎖起來啦..

部份的人的電腦可以做固定IP(例如：boss...)
其他人可做DHCP
鎖定流量，給每個人適當的流量
上網可以，下載很慢
而固定IP的則可放大一些
如此流量小，相信他們也不會想大費周章，用公司的網路啦..

長遠來看的話還是建議改成固定IP的方式會比較好，而且不再發放浮動IP，這樣不管是誰偷渡電腦進來，也會因為得不到IP位置而無法使用。

建議也可以用L2的Switch直接把MAC Address定義上
這樣綜使他插上網路線也沒辦法Access

802.1x，應該符合您的需求

大量下載網路上的檔案,造成頻寬吃緊
--->或許有點答非所問,為何不顯鎖bt之類的東西呢?

建議您可以
1.內部網路:使用802.1x port based 驗證,結合憑證與機器驗證,可避免非網域內電腦取得ip
2.外部網路:使用firewall+proxy搭配ntlm身份驗證,所有電腦經由proxy連線至internet,並於firewall只開放proxy可存取http或https的port,如有特殊需求可視情況開放其他所需要的port
3.針對實驗室未加入網域的電腦,建議你使用vlan技術將使用室區的網段與其他辦公室網段切開,真對microsoft的dhcp server上,可設定發放的ip數目,再將實驗室的電腦mac address於dhcp server上的保留區,全部設定成你所設定的ip,如此一來ip的數量已經固定,並且也都已經綁定成現有的實驗室電腦ip,您就不需要擔心外面帶進來的電腦可自動經由dhcp取得ip了!

個人早期的經驗是使用proxy server，限制需要驗證，這樣一來沒有加入網域的使用者除非知道如何輸入帳號密碼，否則就無法連上網，當然已經輸入帳號密碼就可以順瓜摸藤找到是誰帶不合法設備並取得ip連上線了。

不過由於WINDOWS的PROXY已經是過去式的產品而ISA不確定是否可以達到我們想要的，所以用Cyberom的UTM設備也可以結合WINDOWS的AD，如此一來也可以限制未加入網域的使用者不能上網，而且功能較Proxy強，可以連上都不能上而不是事後再去找誰用的。

其實你只要有DHCP Server一切都好辦，你只要在DHCP上做些設定，
就可以旯成你要的目的了，但事前提是你所加入網域的Client端都需要改成固定IP。

在此我把DHCP設定說明清楚一點好了，有就是在DHCP Server上安裝兩張網卡一進一出，
讓Server有一個實體IP可對外，在給Server有一個虛擬IP，可以跟網域內的電腦溝通，
都設定好後再分配某些特定IP可以上網(做好是配發給固定IP的使用者)，
這樣大概就完成了一部分。

關鍵字:

<pre class="c" name="code">windows DHCP Server

小弟認為設固定IP應該不可行,因為電腦網路的普行,現在幾乎所有的user都會自己設IP,到時IP相衝的機率會增高,更會讓網管人員頻於奔命,所以小弟是建議用proxy+NAC的方式來管制上網會比較好

我覺得問題的狀況，不在於有沒有加入網域，而是「大量下載網路上的檔案,造成頻寬吃緊」！

我的經驗是使用MRTG之類的頻寬統計工具，將每一個埠點的網路流量統計出來，然後每日或每週將這份統計報表，往上呈或公告出來。
那這些胡亂下載的人，就消失了。
使用固定IP，加入網域，其實都不能完全解決這些問題，目前的P2P已經到了無需權限的免安裝情況，即使加入網域，鎖好權限，還是可以P2P下載的！根本防不勝防。