离线时需要给定用户的Active Directory中的组列表

Question

我正在使用一个应用程序，该应用程序通过LDAP针对Active Directory验证用户名/密码，并检索用户所属的所有组的列表。这些组确定其在应用程序中的特权级别。当Active Directory可用时，这可以很好地工作。

在网络中断和/或Active Directory不可用的情况下，我都需要：

1. 验证用户名/密码
2. 检索与用户关联的广告组列表

我可以通过使用LogonUser Windows API调用来实现＃1。我不知道如何为用户获取广告组列表。我什至不确定用户登录计算机时是否存储了该信息，并且是否缓存了他们的凭据。所以我的问题是：

1. 用户的广告组是否存储在Windows本地凭据缓存中？
2. 如果已存储它们，如何从Windows凭据缓存中以编程方式提取它们？