Io credo che l' unico ad avere le credenziali per l' accesso dovrebbe solo essere il DC.

In certe realtà conta di più la sicurezza che il poter lavorare in locale non collegati al dominio (sempre che in locale uno abbia a disposizione tutto quello che gli serve per lavorare e ne dubito fortemente)