1.目前用戶上網配置,透過 Router 鎖MAC/IP 是有用的。

2.DHCP是無法限制人員上網的,硬要用此法的話，可將不能上網者發dhcp，然後不發gateway或發一個不能上網的gateway ip (但此法只能防IT門外漢)

3.DHCP沒有加入AD 也可以提供服務。

4.單靠ad是沒有辦法可以限制人員上網的,必須搭配proxy server來做。
或者，您可考慮使用Windows Server 2008 的NAC功能就可做到。

由於你要能夠存取公司內網的資料，所以 DHCP 需要配發正確 IP 給 Client 端才正常。而要限制電腦連至 Internet 還是透過 router 來限制比較妥當，因為它畢竟是對外的必經之路，一定可以限制住。

另外，沒有加入 AD 的電腦，要連接 File Server，只要有 AD 的 account/password，完全沒有問題的。

目前的線路設計蠻合理的，不知道您是遭遇了什麼樣的問題嗎?

"但是全部人都需要連結File Server 存取公網資料" 按你的要求可以再router上限制只开放你file server 的网址给client就好了。其他公网网址锁定就好。
由于所有client上公网都是必须通过router，可以在router限定你的client是否可以上公网。
至于你说的1 2 3 个问题，跟上网控制没有什么关系，都是一些针对内网client进行管理基本措施而已。另外，你所说的mac和ip绑定是起作用的，除非client擅自修改了mac。