O que acontece quando um computador ingressa em um domínio do Active Directory?

O motivo pelo qual você ainda pode fazer login é porque sua conta é armazenada em cache no computador. Na verdade, é suposto que funciona dessa maneira. Caso contrário, você nunca seria capaz de usar um laptop fora da rede sem ter uma conta local nele. Que em uma empresa seria um pesadelo.

Quando você faz login no domínio pela primeira vez, um monte de informações sobre sua conta e seus privilégios, juntamente com os Objetos de Diretiva de Grupo (GPOs), são configurados. É por isso que o primeiro login demora tanto tempo.

A associação de um computador a um domínio do AD cria uma conta no domínio do computador. Isso permite que o computador exista como um indivíduo controlável, configurável e autenticado no domínio. Isso significa que você pode forçar políticas sobre tudo, desde a aparência da área de trabalho até as atualizações do Windows para qualquer coisa configurável no Windows para o cliente, e também pode ser alterada em relação ao usuário logado no cliente.

Aqui está a documentação da Microsoft sobre como o login funciona em 2003 artigo technet sobre login

Quando um computador faz parte de um domínio do Windows, todos os tipos de coisas acontecem. Os mais importantes:

• Contas de usuário no domínio tornam-se usuários válidos no sistema e podem fazer logon nele (a menos que restrições sejam aplicadas).
• Os administradores de domínio adquirem direitos administrativos no sistema.
• O próprio computador obtém uma conta no domínio e a usa para se autenticar em outros computadores.
• As contas de usuários locais permanecem ativas e podem ser usadas para efetuar logon no sistema; eles não são reconhecidos por nenhum outro computador no domínio.
• O nome do computador é registrado no DNS do domínio (se ele suportar atualizações dinâmicas, o que deve acontecer).
• Políticas de grupo definidas no domínio e direcionadas a computadores afetam o sistema.
• As políticas de grupo definidas no domínio e direcionadas aos usuários afetam qualquer usuário do domínio que fizer logon no computador.

Quando o computador é membro de um domínio, mas não consegue se conectar a um controlador de domínio, ele não pode validar as credenciais do usuário, portanto, qualquer logon de domínio falhará; a exceção é o último usuário logado, que é, por padrão, armazenado em cache e lembrado, e ainda pode fazer logon com sucesso. Portanto, se o último usuário conectado foi DOMAIN \ UserA, um logon desconectado com a mesma conta de usuário terá êxito, mas um logon com, digamos, DOMAIN \ UserB falhará. (Esse comportamento é configurável via política).

As políticas de grupo permanecem aplicadas mesmo em um cenário desconectado.

1. O cliente se torna um computador de domínio, em vez de um computador de grupo de trabalho autônomo
2. Ainda é possível efetuar login em uma estação de trabalho quando você retira o cabo de rede devido a uma configuração imposta pela Diretiva de Grupo. Essa configuração ( Políticas do computador - Configurações do Windows - Diretivas locais - Opções de segurança ) chamado Logon interativo: Número de logons anteriores ao cache (caso o controlador de domínio não esteja disponível) causa esse comportamento e é por design.
3. Quando você desconectar o cabo, se um usuário fizer login com uma conta de domínio que tenha se registrado anteriormente nessa estação de trabalho, a máquina restaurará o último conjunto de Diretivas de Grupo que tinha quando o controlador de domínio estava disponível.
4. Segurança de credenciais em cache no Windows