Лучше всего один сервер - одна роль. СА - точно отдельно; IIS - точно отдельно; TS - точно отдельно; DC+DNS+DHCP+NAP - можно на одном совмещать и лучше больше ничего на DC не ставить.
Не надо "клонировать" пользователя administrator, что бы это не значило. Создавайте новую учётку под каждого пользователя и добавляйте ее в нужные вам группы доступа.