марионетка, пытающаяся определить глобальные переменные класса

Для добавления к очень хорошему списку, отправленный Chris Thorpe, вот является еще некоторыми причинами, почему выполнение, которое является плохой идеей:

• Каждый сервер должен будет затем быть уведомлен относительно изменений в Домене.
• Серверы, которые снижаются в течение любого значительного отрезка времени, могут доставить неприятности репликации.
• В зависимости от того, насколько большой Ваш домен, это может быть довольно значительная память, сосут.
• Каждый сервер затем будет в DNS как разрешимый доменным доменом DNS. Получите достаточно серверов, и некоторые клиенты DNS начнут рвать в размере Reponse DNS.
• Каждый сервер затем разместит все Групповые политики, который имеет его собственный трафик репликации, таким образом, Вы получите непоследовательное покрытие GPO, пока репликация не сходилась, который может занять несколько часов в большой сети DCS.

Действительно, "репликация наверху" аргумент является действительно сильной. Если Вы имеете небольшое количество серверов, локальных друг для друга, говорите под 10, это не столь плохо. После того как Вы добираетесь до больших количеств, особенно если они являются удаленными друг от друга, проблемы начинают увеличивать. Репликация в AD Сайте является one-many, и между сайтами обычно настраиваются с хостами плацдарма, направляющими обновления. Не только AD информация должна копироваться, также - вся информация о Групповой политике (это - то, что хранится в "SYSVOL"), должен копироваться в каждый DC. Это - сетка очень сложной репликации, когда Вы получаете многих DCS в среде, и это намного легче для вещей пойти не так, как надо.

С точки зрения безопасности Вы действительно не хотите потенциальных взломщиков, получающих локальный доступ к DC. Намного легче извлечь хэши пароля всего домена, когда Вы локальны для DC, и с Таблицами Радуги это в значительной степени игра закончена, если Ваши политики паролей не намного более строги, чем являются наиболее часто используемыми сегодня.