Hola. A continuación mi respuesta:
Usuarios en el dispositivo local: Si la información de un usuario que ha superado la autenticación del servidor existe en el FW, el FW comprueba los atributos del usuario, incluyendo el estado del usuario, la hora de caducidad de la cuenta, la dirección IP vinculada al usuario y si la cuenta puede ser utilizada por varios usuarios para iniciar sesión simultáneamente. El usuario puede conectarse sólo cuando la comprobación de los atributos es satisfactoria. El grupo al que pertenece el usuario tras el inicio de sesión es un grupo local.
Usuarios que no están en el dispositivo local: El FW determina si permite que un usuario que ha pasado la autenticación del servidor se conecte en función de la autenticación para nuevos usuarios asociados a un dominio de autenticación y del grupo desde el que se conecta el usuario.
§ El FW no permite que el usuario se conecte.
§ El FW considera al usuario como un grupo temporal y permite que el usuario se conecte desde un grupo local y utilice el permiso del grupo.
Saludos.