Se fizermos logon em um computador com uma conta de domínio e alterarmos a senha desse usuário e em seguida bloquearmos a estação de trabalho dele, você pode desbloquear a estação com a senha antiga, mais como isso em possível?

Quando fazemos logon em uma estação, o serviço winlogon armazena em cachê um hash da senha, quando bloqueamos a estação e alteramos a senha, ao desbloquear a estação com a senha antiga, o winlogon irá verificar esse hash com o hash que está em cachê e irá desbloquear o computador mesmo com a senha obsoleta.

Esse comportamento é uma otimização de desempenho de rede para evitar consulta ao controlador de domínio com solicitações de autenticação. Isso significa que você não pode bloquear usuários da rede, alterar suas senhas?

Não, você ainda pode bloquear usuários da rede, alterar suas senhas. O hash de senha armazenada em cache é usado somente para acessar a estação de trabalho local. Depois que o usuário tenta acessar um recurso de rede, esse recurso de rede irá solicitar a autenticação ao controlador de domínio.

Mais podemos forçar que mesmo desbloqueado uma estação que esteja bloqueada, que o usuário envie suas credenciais para ser validada pelo DC, fazemos isso através das GPO exigir autenticação de controlador de domínio para desbloquear a estação de trabalho.

Observe que esse cache de nível de senha para desbloquear uma estação de trabalho é diferente de credenciais de logon de domínio em cache. Credenciais armazenadas em cache são usadas quando um controlador de domínio não está disponível para verificar uma senha. Nessas condições, a senha inserida pelo usuário é comparada ao que armazenados no cache, e se eles corresponderem (ou mais precisamente, se os hashes do hashes corresponderem), em seguida, o logon é considerado como êxito. Enquanto o cache para desbloquear uma estação de trabalho é uma otimização de desempenho para evitar contatar o controlador de domínio (mesmo que ele esteja disponível), as credenciais de cache é um fallback usado quando o controlador de domínio está totalmente indisponível, mas você ainda deseja que os usuários acessem recursos da máquina local.