Por padrão, o Active Directory permitirá que os usuários façam login em suas máquinas Windows enquanto o Controlador de Domínio não puder ser acessado, com a última senha conhecida no computador em questão. Depois que o controlador de domínio for contatado, a máquina cliente verificará se alguma senha de seus usuários foi alterada.
O único problema com isso é que o computador cliente manterá apenas as senhas dos usuários que se conectaram anteriormente ao computador enquanto o controlador de domínio está disponível. Ele não armazenará todas as senhas de todo o domínio, apenas os usuários que ele sabe que existem.
Veja Desativar o logon em computadores Windows quando não estiver conectado a um domínio para mais informações sobre como desativar essa configuração (ela é ativada por padrão).