Есть домен, в нём есть группа IP, для которой надо закрыть доступ ко всем шарам в остальном домене, сделать что то типа своей отдельной рабочей группы.
Как посоветуете реализовать?
Есть контроллер домена на виндос сервере 2003, и керио.

Есть предложение посмотреть в сторону групповых политик. Можно в АД раздать права. Можно скрипт который будет прогружаться и автоматически запрещать обращаться к шарам. Решений море. Самый простой^ группу юзверей с определённым IP включить в отдельную группу и на зашареные папки убрать олл, выставит только нужные тебе группы. А вообще, рекомендую обратить внимание на теринологию "рабочая группа" и "домен". Это не совместимые, хотя по некоторым критериям похожые, термины!

Ещё нюанс - нельзя работать с самими компами, от которых закрываем сеть. ТО есть переводить руками в рабочую группу нельзя.
Я закрыл доступ к шарам для 1 юзера, с которого выходит вся эта группа.

Тобишь нельзя выводить компьютер из домена и ввести в рабочую группу?

Да, за компами всё время работают.
Может можно как то в Active Directory сделать правило?
На Kerio не пашет правило для локалки ((

Честно, не понятно вообще о чём вы говорите. Да если они работают права на шару не обязательно назначать когда сидять за компом. Элементарно можно обратиться r шаре по номенклатуре UNC и на своём компе выставить права. Можно и в AD. Для этого нужно объявить расшаренную папку в АД и назначить ей права.
А за керио вообще ничего не понял.... при чём здесь правило? И на что правило?

Про керио загнал, надеялся что можно через него упавлять трафиком в локалке, заблуждался полностью.
Есть 10 компьютеров например, надо из них 3 компам запретитьдоступ к остальным 7.
На этих 3х комапах всегда работают.
Как оптимально сделать это?
Я консолью в винде просто закрыл доступ к шарам учётке этих 3 компов. С этих 3 компов логинились по 1 учётке.

народ что мудрить они в домене на серваке пропиши в домене кто к каким ресурсам имеет доступ а кто нет и вся проблема посетке то они машины видеть будут а вот к ресурсам доступа нет и пользователи у тебя откуда беруться точно из домена или они локально работают ???