Kontrola domeny (DM) odnosi się do systemu komputerowego opartego na systemie Microsoft Windows®, który przechowuje dane konta użytkownika dla przypisanej mu domeny w centralnej bazie danych. Wykorzystuje te przechowywane dane do świadczenia ważnych usług obejmujących całą domenę, takich jak uwierzytelnianie użytkowników, egzekwowanie zasad bezpieczeństwa i dostęp do zasobów. Zasadniczo kontroler domeny umożliwia administratorowi systemu przyznanie dowolnemu określonemu użytkownikowi dostępu do określonych zasobów systemowych — aplikacji, drukarek — za pomocą nazwy użytkownika i hasła.
Pierwszy DM został zaimplementowany w systemie Windows® NT za pośrednictwem bazy danych znanej jako Security Accounts Manager (SAM). Ten system opiera się na podstawowym kontrolerze domeny (PDC) połączonym z co najmniej jednym zapasowym kontrolerem domeny (BDC). Kontroler PDC obsługuje wszystkie problemy związane z domeną, takie jak uwierzytelnianie użytkowników, podczas gdy kontrolery PDC tylko do odczytu służą jako kopie zapasowe w celu zwiększenia odporności na błędy. W przypadku awarii kontrolera PDC jeden z kontrolerów BDC musi zostać ponownie skonfigurowany w kontroler PDC.
Problem z modelem kontrolera domeny Windows® NT polega na tym, że nie jest on skalowalny, co oznacza, że może być używany tylko w małych firmach. Aby to złagodzić, Microsoft zastąpił SAM, PDC i BDC Active Directory (AD). Ta technologia zamienia sieć w duży katalog, podobny do żółtych stron, który jest znacznie łatwiejszy w zarządzaniu i kontroli. Co ważniejsze, system Active Directory umożliwia funkcjonowanie wielu domen na równym poziomie.
Każdy kontroler domeny ma kopię bazy danych AD. Co więcej, wszystkie kontrolery domeny w domenie są stale synchronizowane w procesie znanym jako replikacja z wieloma wzorcami. W tym procesie, za każdym razem, gdy zmienia się informacja o DC, sygnał jest następnie przesyłany do wszystkich pozostałych DC, zapewniając w ten sposób, że wszystkie informacje pozostają aktualne i prawidłowe. Może być jednak ważne, aby pamiętać, że jeden kontroler domeny służy jako główny, ponieważ jest odpowiedzialny za potwierdzanie wszystkich modyfikacji danych i rozwiązywanie wszelkich konfliktów, które mogą się pojawić podczas jednoczesnego żądania zmiany danych. W przypadku awarii mastera, rolę natychmiast przejmuje inny DC.
Istnieje jednak jedno główne ograniczenie systemu Active Directory. Kontroler domeny oczywiście musi obsługiwać system operacyjny oparty na systemie Windows®, co oznacza, że wszyscy inni członkowie domeny lub stacje robocze również muszą korzystać z systemu Windows®. Zostało to naprawione przez wprowadzenie Samby, pakietu oprogramowania typu open source/bezpłatnego, który umożliwia stacjom roboczym z innymi systemami operacyjnymi — takimi jak UNIX, Linux, IBM System 390 i OpenVMS — interakcję z kontrolerem domeny. Daje to administratorowi sieci lub inżynierowi znacznie większą elastyczność. Jest to szczególnie przydatne w dużych korporacjach, w których różne działy wymagają różnych systemów operacyjnych.