ドメインに所属しているWindows10 をパワーオンし、ユーザー名とパスワードを入力してデスクトップが表示されるお馴染みの流れにおいて、2点質問いたします。

1. ユーザー名とパスワードを入力すると、AD からTGT が交付され、そのTGT をもとにいくつかのTGS を発行してもらうという認識ですが、こちらは正しいでしょうか？
2. Powershell においてklist コマンドで端末が持っているTGT/TGS を確認できます。ここで、コマンド：klist purge でチケットを全削除して、kerberos でSSO できるアプリケーションを起動すると、自動的にTGTとそのアプリケーションにおけるTGS が発行されます。TGT を削除しているので、またユーザー名/パスワードを入力して再度TGT をADから貰いにいくのかな、と思っていたのですが、TGT が自動発行されるのはなぜでしょうか？アクセス先のアプリケーションがAD にTGT を貰いに行くようリダイレクトさせて、そこで既にユーザーがログイン済みのため、改めてユーザー名/パスワードを入力させることなく、AD はTGT を端末に渡す、という理解で正しいでしょうか？

お手すきの際で構いませんので、何かご存知であれば教えていただけますでしょうか。
よろしくお願いいたします。