Интересует теоретический аспект. В AD есть несколько домен-контроллеров. Один из них выключаем и, загрузившись с внешнего диска, правим NTDS.DIT (например, изменяем членство в группах или сбрасываем пароль пользователю). Как будет вести себя механизм репликации после запуска такого домен-контроллера с измененной базой?

old_nick, вопрос практического характера или теоретический?

Iska, если практика с теорией тут расходятся, как иногда бывает у M$ (http://www.outsidethebox.ms/17367/), интересует и то, и то. :)
По моим предположениям, должен сработать механизм защиты и либо внесенные изменения откатятся при очередной репликации с другими членами, либо произойдет что-нибудь наподобие USN Rollback и домен-контроллер перестанет нормально функционировать.
Но это лишь мои догадки, а хотелось бы услышать авторитетное мнение.