Você não precisa executar um domínio para fazer um farm, mas eu acho que ele simplificará a configuração um pouco em relação às permissões, etc., como você disse. Você ainda precisará fazer as normais sincronizações de MachineKeys entre os servidores para lidar com cenários em que as solicitações estão pulando entre os servidores.
Geralmente, não é recomendado pela MS que sua Web voltada para o público (ou servidores de banco de dados) também atue como DC, embora eu tenha feito isso em várias ocasiões em que tínhamos recursos limitados e nunca tivemos problemas.