Необходимо сделать так, чтобы пользователи ноутбуков (Вин ХР) ходили исключительно под доменными учетками без возможности использования локальных, также нужно, чтобы этот момент отрабатывал вне корпоративной сети. Как это правильно реализовать?

Roman Dagger, отключить все локальные учетные записи.

Это понятно. Но как будет проходить авторизация под доменной учеткой, если нет связи с контроллером?

Завести на контроллере домена учетки для них и пусть они под ними ходят. А локальные запароль и все. Под доменными учетками задай права пользовательские, а админские отбери :)

Roman Dagger, если нет связи с контроллером о каком домене может идти речь?? :o

А не будет такого, что при попытке логина будет выдаваться сообщение "контроллер домена не доступен, иди нафиг"?
Для проверки учетки, насколько я понимаю, машина обращается к контроллеру, так?

Речь идет о доменных учетных записях, используемых на ноутбуке без подключения к контроллеру домена.В командировку человек поехал, например.

Roman Dagger, если в том месте есть инет, то можно попробовать организовать VPN до контроллера и тогда домен заработает. А если нет - тогда никуда не убежать с корабля без локальных учеток. А зачем домен в командировке? Что не работает через него?

Но как будет проходить авторизация под доменной учеткой, если нет связи с контроллером?
Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена) (http://technet.microsoft.com/ru-ru/library/cc755473(WS.10).aspx)

Дело в том, что недавно описанную мной ситуацию наблюдал вживую: человек использовал на ноуте доменную учетку (в поле "домен" окна логина было указано именно название домена, локально он логиниться не мог в принципе) без подключения к какой бы то ни было сети. Так же у него на машине есть ВПН подключение, которое он использует для доступа ко внутрисетевым ресурсам, но поднимается оно вручную.

Petya V4sechkin, похоже - то, что надо. Попробую.

Roman Dagger, поправка:
"Interactive Logon: Number of Previous Logons to Cache" Help Topic Contains Incorrect Information (http://support.microsoft.com/kb/825805)

Determines the number of different unique users who can log on to a Windows domain by using cached account information.
То есть, количество пользователей (а не количество входов в систему).

Действительно, наблюдения показывают, что при отсутствии связи с доменом можно входить в систему сколько угодно раз (под одной и той же учеткой).