[xoxmodav]

ИМХО: в такой интерпретации - никак.

[monkkey]

Видимость в сети, по-моему, вообще лишнее. Достаточно разрулить права NTFS на общие ресурсы, безопасность на принтеры. Можно на сервер накатить ABE, дабы не смущать сотрудников видом недоступных им папок. Маунтить скриптами принтеры и нужные папки на сервере.

[Himic]

Можете разбить на подсети. Например:
Отдел 1 192.168.1.1-192.168.1.254
Отдел 2 192.168.2.1-192.168.2.254
.
.
.
Отдел N 192.168.N.1-192.168.N.254

Сервера вынести в отдельную подсеть, например 192.168.100.1-192.168.100.254

На DNS сервере назначить серверам нормальные имена и, либо, научить сотрудников набирать в окне выполнить \\server1\ либо подключить им как сетевой диск. Т.к. у вас доменная структура, то смело делайте logon script на подключение сервера как сетевого диска.

[xeel]

Можно использовать фильтры пакетов сетевого уровня (ФПСУ-IP), с помощь которых можно разрулить - какие IP друг друга видят, а какие - нет.
А еще можно взять программируемый свич (например HP Procurve) и разрулить - какие дырки будут друг друга видеть...

Цитата:

Видимость в сети, по-моему, вообще лишнее.

Категорически несогласен.

[Fighter]

Цитата:

Категорически несогласен.

в раб. группе мей би.. но как быть с доменом и
с компилируемым списком клиентов передаваемый мастер браузером?

[Igor533]

Поставь "Интегриты" от ЧекПоинта и все проблемы разрешь, иначе тебе не выбраться.
Еси начнешь делить на ВиЛаны, то как ты будешь с домаин-контроллерами. Если пойдешь по дороге "Мастер-Броузер-Табле" - увязнешь в ручном конфигурировании. КОрочем раздели сеть на сегменты с помощью стороннего продукта.

[xeel]

Fighter
Ну а если в сети несколько десятков компов и несколько серверов, причем к серверу 1 доступ должен быть только с компов 1-10, к серверу 2 - с компов 11-20 и т.д., а персонал за каждой рабочей станцией сидит технически грамотный - зачем мне повышать угрозу взлома со стороны инсайдеров?

[babki]

Цитата:

Можете разбить на подсети. Например: Отдел 1 192.168.1.1-192.168.1.254 Отдел 2 192.168.2.1-192.168.2.254 . . . Отдел N 192.168.N.1-192.168.N.254 Сервера вынести в отдельную подсеть, например 192.168.100.1-192.168.100.254 На DNS сервере назначить серверам нормальные имена и, либо, научить сотрудников набирать в окне выполнить \\server1\ либо подключить им как сетевой диск. Т.к. у вас доменная структура, то смело делайте logon script на подключение сервера как сетевого диска.

Если я разобью на подсети адресное пространство, то какова гарантия что компьютеры одной из групп 192.168.1.1-192.168.1.254 будуе видеть контроллер домена и к нему(рабочей станции) будет применяться групповая политика домена? Какие службы и где необходимо настроить чтобы это выполнялось? Достаточно ли будет на в настройках сетевого окружения на рабочей станции настроить вручную адреса DNS сервера 192.168.100.1? Гложат сомнения что разные сети друг друга не увидят без спец настроек... Роутеры нужно будет настраивать на контроллерах домена?

Цитата:

Igor533 Поставь "Интегриты" от ЧекПоинта и все проблемы разрешь, иначе тебе не выбраться

А по подробнее можно написать что такое ""Интегриты" от ЧекПоинта" и где их можно скачать?

[Fighter]

Цитата xeel:

Ну а если в сети несколько десятков компов и несколько серверов, причем к серверу 1 доступ должен быть только с компов 1-10, к серверу 2 - с компов 11-20 и т.д., а персонал за каждой рабочей станцией сидит технически грамотный - зачем мне повышать угрозу взлома со стороны инсайдеров?

не совсем понимаю как это относится к теме, но думаю в данном случае, возможно, как вариант, будет более целесообразным манипулировать соотв. значениями AD && local users and groups && security policy, etc. нежели городить огород arp таблицами