O Windows já armazena "verificadores de senha", mais comumente conhecidos como "credenciais em cache", dos usuários quando eles fazem logon na máquina. Por padrão, ele armazenará algo como 10 deles, o que significa que o décimo primeiro usuário a fazer logon substituirá as credenciais em cache da primeira pessoa que efetuou logon, e assim por diante. Esse número é facilmente alterado com a Política de Grupo ou a Política Local. (0 - 50).
Credenciais em cache no Windows são, na verdade, mais como "verificadores de senha" ou "autenticadores", porque na verdade são um "hash de um hash", não a própria senha do usuário ou mesmo um hash direto dela. Você não pode passar essas "credenciais armazenadas em cache" para outro serviço em um cenário do tipo Pass-the-Hash ... embora seja ingênuo pensar que não há nenhum risco nenhum em armazenar esses verificadores de credenciais.
If it is possible, can you set a time limit? E.g. DC authentication will be needed after X days.
Não, isso não é algo que o Windows faz nativamente. Suponho que, se você fosse dedicado o suficiente, poderia escrever um aplicativo ou script que apagaria as credenciais armazenadas em cache que tinham mais de um determinado número de dias.