当计算机加入 Active Directory 域时会发生什么？

您仍能登录的原因是您的帐户已缓存在计算机上。事实上，它应该以这种方式工作。否则，您将永远无法在没有本地帐户的情况下使用网络外的笔记本电脑。这在企业中将是一场噩梦。

首次登录域时，会配置大量有关您的帐户及其权限的信息以及任何组策略对象 (GPO)。这就是首次登录需要这么长时间的原因。

将计算机加入 AD 域会为该计算机在域中创建一个帐户。这样一来，计算机就可以作为域中可控制、可配置、经过身份验证的个体而存在。这意味着您可以强制执行有关一切的策略，从桌面外观到 Windows 更新，再到 Windows 中可配置的任何内容，再到客户端，并且它还可以根据登录到客户端的用户进行更改。

以下是微软关于 2003 年登录工作原理的文档有关登录的 Technet 文章

当计算机加入 Windows 域时，会发生各种事情。最重要的是：

• 域中的用户帐户成为系统上的有效用户并可以登录系统（除非有限制）。
• 域管理员获得系统的管理权限。
• 计算机本身在域中获得一个帐户，并使用它来对其他计算机进行身份验证。
• 本地用户帐户保持活动状态并仍可用于登录系统；域中的任何其他计算机都无法识别它们。
• 计算机名称在域 DNS 中注册（如果它支持动态更新，它应该支持）。
• 在域中定义并针对计算机的组策略会影响系统。
• 在域中定义并针对用户的组策略会影响登录到计算机的任何域用户。

当计算机是域成员但无法连接到域控制器时，它无法验证用户凭据，因此任何域登录都将失败；例外情况是上次登录的用户，默认情况下会缓存并记住该用户，并且仍然可以成功登录。因此，如果上次登录的用户是 DOMAIN\UserA，则使用相同用户帐户的断开连接登录将成功，但使用 DOMAIN\UserB 的登录将失败。（此行为可通过策略配置）。

即使在断开连接的情况下，组策略仍然有效。

1. 客户端将成为域计算机，而不是独立的工作组计算机
2. 由于组策略强加的设置，即使拔出网络电缆，您仍可以登录工作站。此设置 (计算机-策略-Windows 设置-本地策略-安全选项) 称为交互式登录：缓存以前的登录次数（如果域控制器不可用）会导致这种行为，这是设计使然。
3. 拔下电缆时，如果用户使用先前登录过该工作站的域帐户登录，则机器将恢复域控制器可用时的最后一组组策略。
4. Windows 中的缓存凭据安全性