Eu vou responder isso sem explicar o kerberos, porque isso tornaria isso bastante longo, mas por favor leia como ele funciona e como o Windows o utiliza.
As estações de trabalho armazenam senhas em cache indefinidamente e usam as senhas armazenadas sempre que não conseguem acessar o AD, para encurtar a história.
Bloquear um computador e desbloqueá-lo com a nova senha, enquanto estiver conectado ao domínio, fará com que o cache seja atualizado (e a sessão tenha uma "cópia" atual da autenticação). Isso é útil quando eles permanecem conectados enquanto o domínio está conectado, e a senha do usuário do domínio é alterada em outro computador no domínio.
Se o computador não estiver autenticando no domínio por qualquer motivo, ele precisará fazer isso diretamente e on-line.
A senha não é "sincronizada", e os DCs não "empurram" eles para as estações de trabalho.