Não há controladores de domínio "principal" ou "secundário" no Active Directory.
Você não deve se preocupar com qual servidor está executando a autenticação ou fornecendo a Diretiva de Grupo aos clientes. Os servidores são réplicas iguais, portanto, a funcionalidade é a mesma. Você poderia ajustar os valores de preferência nos RRs de SRV para os DCs no DNS se você realmente quisesse, mas seria necessário um motivo convincente para fazê-lo.
Por que você se importa com quais clientes da máquina estão usando a atualização da Diretiva de Grupo?