Por que posso fazer login em uma caixa mesmo que o controlador de domínio do AD esteja inativo?

Por padrão, o Windows armazenará em cache os últimos 10 a 25 usuários para efetuar login em uma máquina (dependendo da versão do sistema operacional) . Esse comportamento é configurável por meio do GPO e é comumente desativado completamente em instâncias em que a segurança é crítica.

Se você tentou efetuar login em uma estação de trabalho ou em um servidor membro em que nunca tinha feito login enquanto todos os seus DCs estavam inacessíveis, você receberia um erro informando There are currently no logon servers available to service the logon request

Sim, suas credenciais são armazenadas em cache em cada máquina na qual você faz login. Se você não tivesse efetuado login em uma determinada máquina antes da desativação do DC, não conseguiria fazer login porque suas credenciais não estariam disponíveis.

Também é importante notar que os logins de sincronismo da caixa DC e do cliente fazem periodicamente como parte das operações de política de grupo, mas apenas enquanto estão on-line.

Por exemplo, você pode entrar em sua estação de trabalho (Alice) e desconectá-lo da rede, depois entrar em uma segunda estação de trabalho (Bob) e alterar a senha do AD do seu login (via ctrl-alt-del) de Bob. A senha é atualizada instantaneamente no Bob e no DC (Charlie), mas ainda é o valor antigo (armazenado em cache) em Alice.

Se você reconectar Alice à rede, depois de um ou dois minutos você provavelmente receberá uma notificação de bolha da barra de tarefas dizendo "O Windows precisa das suas credenciais atuais". Isso é resultado de Alice e Charlie fazendo a sincronização da política de grupo do período. Inserir sua nova senha validará sua entrada contra Charlie e atualizará as credenciais armazenadas em cache em Alice.