基本上, 这是基于某种安全方面的考虑.
因为Domain Controller(DC)是没有本地账户的. 所以我们不能使用一个普通的域账户来配置数据库和应用程序池, 然后添加他到本地管理员组里面. 所以, 任何我们用来配置SPS的账户(他们应该都属于本地管理员组)都会变成域管理员. 这个账户会运行几个服务, 作为IIS的应用程序池的标识账户, 并且对SQL服务器中的数据库具有Owner权限. 这个账户具有如此多的功能, 承担众多责任, 也就意味着对外暴露的机会比较大, 一旦该账户被攻破, 也就是域管理员(domain admin)的权限就会被黑客或坏人获得, 那么对整个域的安全都会受到严重威胁.
在排查错误的时候, 不能使用本地账户也会带来不小的麻烦, 比如说怀疑标识application pool的某个账户有问题, 而你需要用network service来试一下能不能使用它来启动应用程序池.
DC和SharePoint装在一起会对SharePoint的性能产生不利影响, 尤其是如果你把SQL也放在这台机器上的时候, 性能会非常差!
还有, SharePoint可以重装操作系统, 但是DC就不是那么容易重装的了. 重装DC的动作需要非常小心, 同时要需要保证许多其他的DC正常工作才能避免整个域都不能工作.
更多信息
Issues to Consider When You Install Windows SharePoint Services 3.0 or Microsoft Office SharePoint Server 2007 on a Domain Controller
http://support.microsoft.com/kb/2013998