Vielen Dank für die Antworten. Ich habe mich nun wieder mit dem Thema beschäftigt.
Das ganze über die Windows Firewall zu regeln ist kein schlechter Ansatz, wie aber habt ihr das realisiert? Ich kann über GPO die verschieden Firewall Profile entsprechend konfigurieren, soweit klar. Wir bekommen es aktuell aber nicht wirklich zum Laufen :(. Ziel ist es innerhalb der Domäne nichts zu verbieten (Firewall, eingehende/ ausgehende Verbindungen "nicht konfiguriert", sobald das Notebook aber nicht am Domänennetzwerk angeschlossen ist alles (bis auf die VPN Verbindung) zu blockieren (eingehend & ausgehend). Wenn wir das so auf dem privaten & öffentlichen Profil konfigurieren (Firewall ein, eingehende/ ausgehende "blockieren") findet der betreffende Client nicht die Domäne bzw. kann sich nicht authentifizieren, auch haben wir dann Probleme den Client in andere Netze zu stecken (fremdes WLAN etc.). Sind hier alle ausgehenden Verbindungen zu zulassen (was laut Microsoft der Stand wäre)? Wie habt ihr das gelöst?
Danke & Grüße