ПК был в сети под управлением контроллера домена и все хеши паролей хранятся на данном контроллере DC (в NTDS), а не на локальном ПК.
C:\Windows\NTDS\NTDS.dit данный файл как репозиторий находиться на каждом клиенте, когда юзер хоть раз авторизовавшись на одной из машин сразу же попадает в локальные базы. Потом можно украсть хэши и провернуть атаку p2h (пас ту хэш) или сгенерировать тикеты для безпарольной авторизации, даже если пароль будет изменен тикет все равно будет работать сначала глянь пользователей net user /domain потом через mimikatz lsadump::secrets и с помощью kekeo можно золотой тикет себе сделать
