Изолировать рабочие группы друг от друга
 

Сеть 192.168.0.0/16.
Сервер 192.168.0.1/16.
3 рабочие группы.
2 из них нужно изолировать от 2х других.
Сервер раздает интернет так что его видеть должны все.
Как разобраться с проблемой?

Если только купить "умный" свитч, который будет поддерживать "виртуальные" сети и ограничивать передачу информации между конкретными портами.

Средствами системы никак разве? Дополнительное аппаратное обеспечение нежелательно.

Смотря как понимать слово "изолировать".
Например, можно в файрволле перечислить IP-адреса, с которых будет разрешён доступ к портам SMB (служба сетевого доступа к файлам и принтерам) - указать для каждого компьютера адреса только его рабочей группы.
Можно вообще полностью запретить входящие подключения для всех портов, кроме как для IP "соседних" компьютеров.

И так вручную для каждого компьютера. А если хочется централизованно что-либо настраивать, нужно будет на сервер установить серверную ОС, настроить домен в сети и прописать групповые политики. Правда, лицензионная Windows Server будет стоить намного дороже "умного" свича :)

Скажем так, нахождение решения наименьшими затратами. Маршрутизатор покупать, честно, не хочется.

tentakle, количество машин и как назначаются адреса в сети? Если машин не слишком много и можно использовать статические адреса, то разносишь группы в разные подсетки, для сетевой карты в сервере прописываешь адреса для всех подсетей (как дополнительные) с соответствующими масками и запрещаешь хождение пакетов между подсетями. Можно мудрить и с dhcp с назначением адресов по mak-адресам.