TargetLocked

Тема с созданием домена 3 уровня целесообразна/необходима в случаях когда нужно каким-то боком выставлять контроллер домена "голым задом" в WWW, чтобы в нем могли авторизовываться удаленщики без всяких VPN и прочих бубнов.
Третий/четвертый уровень - для того чтобы на домене сидели только адреса именно контроллеров AD, а не всякой Web чухни и прочего, которое может находится в DMZ или вообще у стороннего хостера. А чем дальше находится / дольше ищется сервер AD, тем сильнее тупит клиент

Следите за логикой:
1) отдельный домен как правило отдельная ИТ-инфраструктура, отдельный web-сервер например
2) за домены второго уровня надо платить. В масштабах организации может быть они стоят и дёшево, но нужно следить за их статусом просрочки. Регистрацию домена третьего уровня не надо согласовывать с закупками.
3) подходящее имя домена второго уровня может быть уже занято, в то время как все пространство имён 3-го уровня у вас под рукой.
4) на все домены 3-но уровня можно выпустить один сертификат SSL типа wildcard.