Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

在分支机构中，需要考虑几类威胁。第一类是”DC 失窃”，即有人带着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用 DC 的权限提升自己的权限，进而访问其他域资源或发起拒绝服务攻击。同样，如果本地管理员可以实际接触到域控制器，就很难防范这类攻击。但是，可以防止攻击者 通过使用分支机构的域控制器攻击域中的其他 DC。