Qualquer computador Windows (*) tem um banco de dados de usuários local, que contém contas de usuários locais e grupos locais; essas contas de usuário podem executar ações (fazer login, iniciar programas, configurar configurações ...) no computador de acordo com seus direitos, mas não têm validade em nenhum outro lugar, porque elas existem apenas nesse computador.
Qualquer domínio possui um banco de dados de usuários de domínio, que contém (entre outras coisas) contas de usuário de domínio, grupos de domínio e computadores de domínio. Quando um computador ingressa em um domínio, os usuários do domínio se tornam usuários válidos nesse computador e podem executar ações nele de acordo com seus direitos; os direitos padrão são assim:
- Todos os usuários do domínio são membros do grupo de domínio "Usuários do domínio".
- Todos os administradores de domínio são membros do grupo de domínio "Administradores do domínio".
- O grupo de domínio "Usuários do domínio" é membro do grupo "Usuários" local em cada computador do domínio.
- O grupo de domínio "Admins. do domínio" é membro do grupo "Administradores" local em cada computador do domínio.
Isso significa que, de acordo com as configurações padrão, os usuários do domínio são usuários válidos em todos os computadores do domínio e os administradores de domínio têm direitos administrativos em todos eles.
Quando você usa uma conta local, só pode agir no sistema local, de acordo com seus direitos.
Ao usar uma conta de domínio, você pode atuar em todos os computadores do domínio (por exemplo, abrir contas de rede, executar ferramentas de administração remota etc.) e no próprio domínio (configurar contas de usuário, políticas, etc.), de acordo com seus direitos.
(*) Os controladores de domínio são a única exceção, pois não possuem um banco de dados de usuários local; eles só funcionam com usuários e grupos de domínio.