EDIT

Si cela peut t'aider, je connais de nom NAP de chez ms.
http://technet.microsoft.com/fr-fr [...] 54803.aspx

l'accès au domaine ne se fait que à partir des machines dans le domaine, c'est de base

Il faudra juste vérifier que tu ne fais pas de réservation par @MAC au niveau DHCP

Le lien entre la machine et le domaine se fait via un SID.
Ce dernier est stocké dans la base de registre.
Le fait de changer de carte réseau ne modifie pas cet SID.
 
De plus, si l'accès aux ressources est géré via utilisateur.  
Les ressources seront accessibles depuis une machine qui n'est pas dans le domaine. Si la personne possède un login utilisateur dans l'ad, alors elle accèdera au ressource accessible à cet utilisateur depuis une machine quelconque.

Si tu t'es logué correctement une fois à l'AD, le PC stock les infos de connexion en local, donc tu devrais pouvoir ouvrir ta session.

il n'y a aucun lien entre l'AD et l'adresse mac d'une machine et donc on ne pas filtrer les accès au domaine par ces adresses.

il n'y a pas de lien entre le SID d'une machine et le domaine. le SID est strictement local et n'est jamais diffusé sur le réseau sauf pour quelques rares exceptions...  certaines appli codés avec les pieds s'en servent mais ne devraient pas.

les machines sont liées au domaine via des tokens ou en français des jetons qui sont valides pour 40jours. je ne me souviens plus de la fréquence de renouvellement mais c'est au moins quotidien. donc tu peux te connecter sur une machine avec tes identifiants du domaine sans qu'elles soient relié a celui-ci dans les 40 jours qui suivent le renouvellement du token.

Attention, je ne parle pas du sid local à la machine (régénéré lors du sysprep).  
Je parle du sid "de domaine", ce dernier est généré lors de l'intégration du poste au domaine. C'est l'identifiant de la machine sur le domaine.  

 
Tu confonds un peu tout entre le compte machine AD, le SID, le token/tiquet Kerberos, les cached credentials.
 
Par défaut windows autorise XX (par défaut 10) logins AD à être en cache en local sur la machine. C'est configurable via GPO/template de sécu/registre. Et on parle de nombre de login en cache et non de jours de cache. Même si une machine est offline pendant 1 an, si le login est en cache (et que le mdp de l'utilisateur n'a pas expiré ...) alors il pourra s'y connecter (et même si il a expiré en fait, à tester, c'est juste qu'il va vouloir que tu te connectes au réseau pour le maj mais tu pourrais te logguer qd même)

Pour le SID et l'adresse MAC, non je ne pense pas confondre avec quoi que ce soit, ou alors faudra m'expliquer en quoi ces deux éléments inter-agissent avec l'Active Direcory.

Maintenant pour ce qui est du token/kerberos oui c'était inexact, j'ai pris de gros raccourci et merci pour tes précisions, ça m'a aussi rafraichi la mémoire  

Pour le SID : http://blogs.technet.com/b/markrus [...] 91024.aspx

J'ai jamais parle de l'adresse mac, celle ci n'est pas inscrite dans lad. Par contre tu peux enregistrer le uuid de la machine

Le filtrage par adresse mac ne se fait qu'au niveau du réseau, via le protocole NAP.
Rien à voir avec l'Active Directory.

Le 802.1X est également une possibilité.