also IP-sperren sind eigentlich nutzlos, da jeder seine IP einfach ändern kann.. effektiver ist eine MAC-basierte freigabe.. d.h. generell ist NAT gesperrt: die rechner können zwar im LAN auf den router zugreifen, werden aber nicht ins internet geroutet.. wenn sich jedoch ein rechner am router "einloggt" (mit dem passwort o.ä.), wird für seine MAC-adresse für eine definierte zeit (oder bis zum ausloggen, kommt auf die config an) freigeschaltet, d.h. anfragen von dieser (und nur dieser) MAC-adresse und IP-adresse werden ins internet geroutet..
nunja, es gibt zwar router mit MAC-adressen-spezifischen regeln (z.b. die tomato-firmware für den linksys WRT54), jedoch wird kein normaler router eine authentifizierung von haus aus mitbringen.. du kannst bestenfalls uhrzeiten/wochentage einstellen, wann der rechner (bzw. die MAC-adresse) ins internet darf..
im prinzip ist es mit einem linux-router (entweder PC als router oder linux-firmware auf nem hardware-router) möglich, dass jeder rechner beim ersten versuch eine webseite zu erreichen (d.h. öffnen des browsers) eine login-seite vom router angezeigt bekommt, wo er sich einloggen muss und erst dann ins internet kann (oder auch nicht).. man kennt das prinzip evtl. von WLAN-hotspots..
bei der umsetzung kann ich auch nicht weiterhelfen, aber ich würde in der richtung weitersuchen.. evtl. gibts sowas ja wirklich als "plugin" für eine modifizierte router-firmware oder so, aber mit sicherheit gibts sowas für diverse PC-linux-router..
einfach das windows auf den client-rechnern einzuschränken ist natürlich eine simple lösung, aber auch recht unsicher, wenn man die PCs und die netzwerkzugänge nicht ständig unter kontrolle hat.. ein "bösewicht" könnte ja ein anderes OS von CD o.ä. booten oder ganz einfach einen anderen rechner (laptop) ans netzwerk anschließen und schon wäre er im internet..