¿Qué sucede si alguien roba uno de mis controladores de dominio adicionales? ¿Qué información podría obtener un atacante de mi controlador de dominio?
Su controlador de dominio debe poder autenticar a los usuarios. Por lo tanto, debe ser capaz de verificar las combinaciones de usuario / contraseña. Por lo tanto, necesita almacenar información de contraseña.
Esto no se almacena en texto sin formato, pero en el peor de los casos las personas eventualmente los descifrarán.
Tener un DC robado es algo malo.
El DC también contendrá mucha otra información, como ID de computadora, grupos de seguridad, membresía a grupos de seguridad, lista de DL, ... Todas las cosas que tal vez no tenga intención de compartir, pero no tan malas como [admin admin ] contraseñas.
Lea otras preguntas en las etiquetas active-directory