Para sua pergunta específica - quais são as implicações?
Controladores de domínio em uma configuração padrão não são protegidos por uma rede pública, por exemplo, eles permitem ligações LDAP de texto simples por padrão, o que pode expor suas senhas à interceptação. Este artigo descreve o processo para desabilitar o vínculo simples de LDAP link
Dependendo do que você espera alcançar em uma perspectiva de gerenciamento de usuários / máquinas, você deve investigar as seguintes tecnologias
O Microsoft Intune pode fornecer gerenciamento de máquinas não associadas ao domínio, incluindo Mac / Linux usando o Gerenciador de Configurações
O Active Directory do Windows Azure permite criar e gerenciar centralmente contas de usuários e fornecer uma interface de autenticação do ADFS para vários aplicativos, incluindo o Office 365.
O DirectAccess permite uma experiência de ingresso no domínio quando conectado diretamente à Internet, criando um túnel VPN para sua rede hospedada na nuvem antes da autenticação.
Workplace Join é um recurso do ADFS que permitirá que você "una" um dispositivo ao seu domínio por meio do serviço do ADFS.
O Windows Azure pode fornecer compartilhamentos SMB pela Internet. Mas os compartilhamentos de arquivos são uma tecnologia legada - use o Sharepoint Online / OneDrive, se puder.
As políticas podem (mais ou menos) ser feitas usando o Windows Intune - você não obterá a configuração tradicional da Diretiva de Grupo, mas geralmente não precisa disso, a menos que queira bloquear seu ambiente.
A impressão na Internet pode ser configurada no link do Windows 2012 - mas você precisaria de um servidor em algum lugar para isso. Um serviço de nuvem, sem dúvida, existe.
Boa sorte
Shane