macOS账户有网络账户，移动账户，普通用户和管理员账户等。

网络账户

网络账户是直接存储在目录服务中的账户。它们不是本地计算机上的常规账户，而是在网络上的服务器上管理和验证的。一般来说，macOS加域后使用域账户和密码登录默认创建的是网络账户。如果域账户更改密码，需要macOS连接域控接受最新密码。网络账户可以是管理员账户。

存储位置：用户的认证信息（用户名和密码）存储在网络服务器上。

依赖网络：用户必须连接到网络以验证其身份并登录到系统。

配置和策略：用户的配置和策略是通过网络来管理的。

本地数据：默认情况下，网络账户不会在本地计算机上保留数据。每次注销时，本地的用户数据和设置可能会被删除。

移动账户

移动账户是为了提供更多灵活性而设计的，它们允许网络账户的用户在本地计算机上缓存数据和设置。一般加域后的登录账户需要通过命令或者手动设置方式将网络账户设置为移动账户。如果域账户更改密码，需要macOS连接域控接受最新密码。移动账户可以是管理员账户。

本地缓存：用户的登录信息和某些配置在本地计算机上进行缓存，允许在无法访问网络的情况下登录和工作。

数据同步：当连接到网络时，移动账户可以将本地数据和设置同步回目录服务。

管理和策略：虽然一些配置和策略仍然通过网络进行管理，但用户可以在脱机时保持工作的连续性。

macOS将网络账户转换为移动账户操作见如下链接：

https://support.apple.com/zh-cn/guide/mac-help/mh32157/mac

涉及到Kerberos SSO 扩展的解决方案，需要知道Kerberos SSO 扩展不需要 Mac 绑定到 Active Directory，也不需要用户使用移动账户登录 Mac。Apple 建议你通过本地账户使用 Kerberos SSO 扩展。Kerberos SSO 扩展经过特别设计，以改进使用本地账户时的 Active Directory 集成。但如果选择继续使用移动账户，你仍然可以使用 Kerberos SSO 扩展。配合移动账户使用时：

密码同步无法使用。如果你使用 Kerberos SSO 扩展来更改 Active Directory 密码，并且通过配合 Kerberos SSO 扩展使用的相同用户账户来登录 Mac，则密码更改的效果与从“用户与群组”偏好设置面板中更改相同。但如果你执行的是外部密码更改（意味着你在网站上更改密码，或者通过技术支持重设密码），Kerberos SSO 扩展无法将你的移动账户密码恢复为与 Active Directory 密码同步。
不支持配合 Kerberos 扩展使用密码更改 URL。

Kerberos 单点登录扩展介绍请查看链接：

https://support.apple.com/zh-cn/guide/deployment/depe6a1cda64/web

管理员账户

管理员可以添加和管理其他用户、安装 App 以及更改设置。首次设置 Mac 时创建的新用户就是管理员。你的 Mac 可以具有多个管理员。你可以创建新管理员，以及将普通用户转换为管理员。请勿为管理员设置自动登录。如果你这样做，那么其他人只需重新启动 Mac 就能访问管理员访问权限。为了保证 Mac 的安全，请不要共享管理员名称和密码。在一定程度上可以更改普通账户和其他管理员账户的密码。账户信息都是保存在macOS本地。有一点需要知道的是，有SecureToken或者BootstrapToken权限并不一定是管理员账户。反之也是。