Podstawowy kontroler domeny (PDC) to serwer używany w sieciach komputerowych do zarządzania użytkownikami i grupami w określonym segmencie sieci lokalnej (LAN). Serwer przechowuje informacje o użytkownikach i uprawnienia dostępu do zasobów sieciowych, takich jak inne komputery lub drukarki, w całej sieci. Kontroler PDC zapewnia następnie pojedynczy punkt dostępowy, w którym użytkownicy mogą logować się do sieci i uzyskiwać dostęp do jej zasobów, eliminując w ten sposób wielokrotne kombinacje nazwy użytkownika i hasła.
Użycie podstawowego kontrolera domeny do zarządzania użytkownikami pojawiło się w latach 1990. wraz z wydaniem systemu operacyjnego Microsoft® WindowsNT®. Sieć Windows® może być następnie skonfigurowana z serwerem Windows NT® działającym jako centralne źródło administrowania użytkownikami i logowania dla innych komputerów w sieci. Dzięki temu użytkownik mógł obsługiwać dowolną inną stację roboczą kontrolowaną przez kontroler PDC bez konieczności zakładania konta użytkownika na tej stacji roboczej. Inny serwer WindowsNT® zostałby wówczas skonfigurowany jako zapasowy kontroler domeny (BDC) na wypadek, gdyby kontroler PDC stał się niedostępny. Wraz z nadejściem Windows® 2000 i Active Directory® kontrolery domeny nie mają już rozróżnienia podstawowego ani drugorzędnego.
Podstawowy kontroler domeny utrzymuje bazę danych użytkowników i ich uprawnień dla określonej domeny. Ta baza danych jest następnie współdzielona z dowolną liczbą dodatkowych serwerów kopii zapasowych. PDC jest serwerem w sieci tego typu, który ma możliwość zarówno odczytu, jak i zapisu do tej bazy danych. BDC jest jednak w stanie umożliwić użytkownikom logowanie się do sieci w oparciu o informacje udostępnionej bazy danych z kontrolera PDC, ale wszelkie zmiany w bazie danych zachodzą na kontrolerze PDC.
Każdy inny serwer w domenie, który nie działa jako PDC lub BDC, jest uważany za serwer członkowski. Chociaż serwer członkowski można przenieść z jednej domeny do drugiej, podstawowy kontroler domeny lub zapasowy kontroler domeny nie. Dzieje się tak, ponieważ zarówno kontroler PDC, jak i wszelkie kontrolery BDC w domenie otrzymują unikalny identyfikator bezpieczeństwa, który jest przeznaczony wyłącznie dla domeny, do której należą.
Ponieważ w danej sieci LAN może istnieć wiele domen, podstawowy kontroler domeny dla dowolnej domeny może ustanowić relację zaufania z podstawowym kontrolerem domeny innej domeny. Administrator ustanawia konto zaufania dla podstawowego kontrolera domeny domeny alternatywnej. Jest to droga dwukierunkowa, w której oba kontrolery PDC muszą mieć utworzone konto relacji zaufania, aby uzyskać dostęp do zasobów innego. Po ustanowieniu łącza użytkownikom i grupom można nadać uprawnienia na kontrolerze PDC domeny alternatywnej.
Ponieważ sieci heterogeniczne są powszechne, twórcy wolnego oprogramowania zaimplementowali również możliwości kontrolera domeny w oprogramowaniu serwerowym Samba, które może działać w systemie Linux® i innych systemach operacyjnych Unix®. Implementację Samby działającą na serwerze LINUX® lub UNIX® można skonfigurować tak, aby działała jako podstawowy kontroler domeny dla sieci lub jako BDC dla Samba PDC. Samba BDC nie obsługuje jednak kontrolera PDC systemu Microsoft® Windows®.