Да может конечно. в 2003 сервере все сервера являются PDC, вторичных нет. ПРосто если на контроллере не выставлена опция глобального каталога, то он является всего лишь репликацией AD, но авторизацию проводить не сможет. Ну и роли между ними можно разнести.
P.S. Знаю, что нельзя делать, как у меня сейчас, но у меня 2 контроллера, оба глобальные каталоги, на обоих DNS, а все роли только на одном сервере 
Главное, что работает... 