這問題已有人提出 給你連結http://news.pchome.com.tw/magazine/report/ct/iThome/415/122624640001799075007.htm

zuyan提到：
沒有登入網域的使用者

C大PO的連結內容好像跟原PO的題意有點差距...

「沒有登入網域的使用者」可以用網芳連進AD（輸入AD帳號），既然有AD帳號，他的PC（NB）就應該要join AD才對，除非是用自己的電腦，以資安角度來看，這應該禁止！

再來，「存取伺服器的資源」的伺服器指的是 FILE SERVER、DATABASE...等，還是指 DC? 這兩者的狀況不同，若是AP..等資源都在 DC 上，那也不應該，該優先解決一下（我知道，這要錢！）

建議版大再把您的意思說清楚一點...

基本上, 因為未加入網域, 那便非Domain Users的member, 所以只要將分享的資料夾權限, 不要加everyone就可以了。
但板大的意思中, 似乎是該使用者也有domain account, 如果是這樣, 可以限制那些使用者帳戶只能在某些電腦登入, 應該就可以解決板大的問題。

可參考

把Windows XP的Radius換成Windows 2003和Windows 2008 Server就可以了

http://www.ublink.org/index.php/component/content/article/10-ubs-switch/169-ubs-5008radius8021xwindows-xp-radius-server-ieee-8021x.html

windows 的常見登入類別有 2.互動 3.網路 4.批次 5.服務.
目前小弟知道的只有用802.1x 進行電腦帳戶驗證可能達到相似的功能.
不過 1.加入網域電腦, 但登本機帳戶無解.
2.windows內建的驗證功能不好用, 看有沒有3rd party solution可以用.

試試看
1.在DHCP上給每台電腦配固定IP
2.鎖每個帳號可登入的電腦
3.來賓電腦與內網區隔開

絕招:架個加密伺服器檔案離開公司就沒用

俗話說千防萬防..家賊難防..再怎麼防也沒用..既然用了那個員工..應該是要用人不疑..疑人不用..

我還是建議假如真的怕的話還是找監控軟體吧。

樓主假如是主要用意限制使用者拿著自己的筆電用網芳連線到檔案伺服器將資料copy到筆電上的話，請試試下面的方法吧，能夠區隔內外網。當登入來賓時只能進外網，也不能用自己的筆電登入內網。
1.802.1X加上DHCP Relay & option82
2.機上電腦鎖MAC加上鎖電腦名稱

我依上述修改了本機原則的本機登入及使用終端機服務登入後,
我的User無法通過VPN連線登入,卡在驗證失敗.
於移除後, 回復成<尚未定義>,
一樣無法登入.
但,只有我的帳戶一直都可以,
請問哪位大大,可以幫忙解惑,謝謝!!
VPN驗證失敗,還有哪些地方需要查看的??

1.如果環境已用固定IP，非DHCP，家賊又會自己設定IP
2.在AD設定帳號只能登入哪些電腦(理論上用這招就算家賊有AD帳號也可以檔了)
3.如果2還是不行，從網路方面下手，請下載手冊@@
http://www.dlink.com/fr/fr/support/product/-/media/Business_Products/DES/DES%203052/Manual/DES%203052_CLI_Manual_EN_FR.pdf
在176頁的地方..(不過前提是家賊不會一直換IP)

我最近遇到相同的問題，用戶本身有DOMIN ACCOUNT(公司內部人員)，公司電腦都有加入網域，但相對的也有本機可以使用，有人不想每次都要登入，所以就登入本機使用，一來不受GPO限制、管制，二來要登入伺服器取得資料時，只要打一次帳密就可以取得資料...
請問要如何設定GPO【才能拒絕電腦在沒有登入網域，就算打帳密也無法存取伺服器的資料檔案】。
謝謝!!