Depende do que você está testando e do que precisa fazer no AD. Meus pensamentos sobre suas soluções:
- Tudo bem se você está apenas testando a criação / exclusão de contas, como você disse na sua pergunta. Contanto que sejam todos ou mais do que seus produtos estão fazendo.
- Sim - todo domínio precisa de pelo menos um único CD - dois é melhor no caso de um deles falhar. Mesmo para um ambiente de teste. Isso permite que eles façam o que quiserem.
- É uma ideia terrível. Não importa em que DC em seu domínio eles se conectam - AD é um banco de dados multi-mestre, portanto, uma alteração feita em um local será replicada em todos os lugares. Você não protegeu nada. Se você permitir que eles adicionem / excluam contas em qualquer lugar, eles podem excluir acidentalmente todas as contas ou realizar outras atividades em sua rede de produção. A primeira tarefa depois de restaurar sua rede será uma nevasca de deslizamentos cor-de-rosa, e provavelmente para seus administradores de sistema, não para o time de desenvolvimento.
- Na era atual de virtualização fácil, provavelmente é melhor fazer pelo menos um domínio de teste (sem trusts de / para o domínio prod) para todos e, dependendo do layout corporativo e da rede, criar domínios de teste adicionais para todos podem interagir conforme necessário, ou permitir que cada um de seus desenvolvedores tenha um DC (ou mais) em execução em uma VM em sua própria máquina ou em uma segunda área de trabalho em seu cubo. Há muitas outras opções arquitetônicas também; dependendo do seu orçamento e necessidades.