Является ли риском для безопасности подвергание AC DC воздействию другой (локальной) сети тестовой среды?

В моей компании нам приходится создавать небольшую тестовую среду в отдельной сети, которая должна быть изолирована от Интернета, за исключением периода первоначальной установки.

Из-за ограниченных ресурсов (время, деньги и рабочая сила) мы не можем настроить новый Windows Server с установленным на нем AC DC только для этой тестовой среды. Альтернативой является поддержка со стороны IT-отдела основной компании, чтобы использовать тот же DNS, DHCP, аутентификацию и все остальное, что уже есть для основных операций Office.

Однако, похоже, я не могу убедить их разрешить это, поскольку они мотивируют это риском безопасности и перегрузкой DC. Что касается перегрузки, я не думаю, что добавление 30 виртуальных машин станет проблемой, поскольку пользователи будут теми же, и вместо того, чтобы работать на своем рабочем столе, как они делают сейчас, они будут работать через RDP на виртуальных машинах. По соображениям безопасности я не знаю, как убедить их, что будучи сетью, отделенной от сети, и с аутентификацией, контролируемой их DC, нет никакого риска, поскольку с моей точки зрения все было бы наоборот, поскольку тестовая сеть была бы подключена к офисной ИТ-инфраструктуре, открытой для Интернета.

Могу ли я получить профессиональное мнение о том, как поступить в подобной ситуации, есть ли плюсы и минусы в том, что нам нужно, и как это доказать?