Как я предоставляю права локального администратора, но не Права Администратора домена?

Это зависит от того, что Вы тестируете и что это должно сделать в AD. Мои мысли о Ваших решениях:

1. Это прекрасно, если Вы просто тестируете создание/удаление учетной записи, как Вы сказали в своем вопросе. Пока это - все или большая часть того, что делают Ваши продукты.
2. Да - каждому домену нужен, по крайней мере, единственный DC - два, лучше в случае, если каждый перестал работать. Даже для тестовой среды. Это позволяет им dick вокруг всего, что они хотят.
3. Это - ужасная идея. Не имеет значения, какой DC в Вашем домене они подключают с - AD является мультиосновной базой данных, таким образом, изменение, внесенное в одном месте, будет копироваться везде. Вы ничего не защитили - если Вы позволяете им добавить/удалить учетные записи где-нибудь, они могли бы случайно удалить все учетные записи или выполнить другой fuckery в Вашей рабочей сети. Первой задачей после восстановления Вашей сети будет снежная буря извещений об увольнении, и вероятно для Ваших системных администраторов, не команды разработчиков.
4. В сегодняшнем возрасте легкой виртуализации Вы являетесь, вероятно, лучшими прочь, чтобы сделать по крайней мере один тестовый домен (никакое доверие к домену напоминания) для всех, и в зависимости от Вашей корпоративной и структуры сети, сделать дополнительные тестовые домены для всех, чтобы взаимодействовать с по мере необходимости или позволить каждому из Ваших devs иметь DC (или больше) работающий в VM на их собственной машине или во втором рабочем столе в их кубе. Существует много других вариантов архитектуры там также; в зависимости от Вашего бюджета и потребностей.