網域控制器

使用Windows NT 4 Server，每個域一個域控制器配置為主域控制器（PDC）;所有其他域控制器都是備份域控制器（BDC）。

由於PDC的關鍵性質，最佳實踐規定PDC應僅專用於域服務，而不用於可能減慢或崩潰系統的檔案，列印或應用程式服務。一些網路管理員採取了額外的步驟，線上使用專用的BDC，以便在PDC失敗時可以進行促銷。

BDC可以對域中的用戶進行身份驗證，但域的所有更新（新用戶，更改的密碼，組成員資格等）只能通過PDC進行，然後PDC會將這些更改傳播到域中的所有BDC。如果PDC不可用（或無法與請求更改的用戶通信），則更新將失敗。如果PDC永久不可用（例如，如果機器發生故障），則可以將現有BDC升級為PDC。

Windows 2000及更高版本引入了Active Directory（“AD”），它在很大程度上消除了PDC和BDC的概念，轉而支持多主複製。但是，仍有幾個角色只有一個域控制器可以執行，稱為靈活單主機操作角色。其中一些角色必須由每個域的一個DC填充，而其他角色每個AD林只需要一個DC。如果執行這些角色之一的伺服器丟失，則域仍然可以運行，並且如果伺服器將不再可用，則管理員可以指定備用DC以在稱為“占用”該角色的過程中承擔該角色。

在Windows NT 4中，一個DC充當主域控制器（PDC）。其他如果存在，通常是備份域控制器（BDC）。 PDC通常被稱為“第一”。“域用戶管理器”是用於維護用戶/組信息的實用程式。它使用主控制器上的域安全資料庫。 PDC具有可以訪問和修改的用戶帳戶資料庫的主副本。 BDC計算機具有此資料庫的副本，但這些副本是唯讀的。 PDC將定期將其帳戶資料庫複製到BDC。[6]存在BDC是為了向PDC提供備份，還可以用於驗證登錄到網路的用戶。如果PDC失敗，則可以提升其中一個BDC來取代它。 PDC通常是第一個創建的域控制器，除非它被升級的BDC替換。

在Windows的現代版本中，域使用Active Directory服務進行了補充。在Active Directory域中，主域控制器關係和輔助域控制器關係的概念不再適用。 PDC模擬器擁有帳戶資料庫和管理工具。因此，繁重的工作負載可能會降低系統速度。 DNS服務可以安裝在輔助仿真器計算機上，以減輕PDC仿真器上的工作負載。同樣的規則適用;域中只能存在一個PDC，但仍可能使用多個複製伺服器。

如果域中存在Windows NT 4.0域控制器（BDC），PDC模擬器主機代替PDC，充當它們從中複製的源。
PDC模擬器主伺服器接收域中密碼更改的優先複製。由於密碼更改需要時間來複製Active Directory域中的所有域控制器，PDC模擬器主機會立即收到密碼更改通知，如果登錄嘗試在另一個域控制器上失敗，則該域控制器會將登錄請求轉發給PDC模擬器主機在拒絕它之前。

PDC模擬器主伺服器還充當域中所有域控制器將同步其時鐘的機器。反過來，它應配置為與外部NTP時間源同步。

PDC已經在Microsoft的SMB客戶端/伺服器系統的Samba模擬中忠實地重新創建。 Samba能夠在Linux機器上模擬NT 4.0域以及現代Active Directory域服務。

在Windows NT 4域中，備份域控制器（BDC）是具有用戶帳戶資料庫副本的計算機。與PDC上的帳戶資料庫不同，BDC資料庫是唯讀副本。當對PDC上的主帳戶資料庫進行更改時，PDC會將更新推送到BDC。存在這些額外的域控制器以提供容錯。如果PDC失敗，則可以由BDC替換。在這種情況下，管理員將BDC升級為新的PDC。 BDC還可以對用戶登錄請求進行身份驗證，並從PDC獲取一些身份驗證負載。

當Windows 2000發布時，NT 4及之前版本中的NT域被Active Directory取代。在以純模式運行的Active Directory域中，PDC和BDC的概念不存在。在這些域中，所有域控制器都被視為等於。此更改的副作用是無法創建“唯讀”域控制器。 Windows Server 2008重新引入了此功能。

Windows Server可以是以下三種類型之一：Active Directory“域控制器”（提供身份和身份驗證的域控制器），Active Directory“成員伺服器”（提供諸如檔案存儲庫和架構之類的免費服務的那些）和Windows Workgroup“獨立伺服器”伺服器”。微軟有時將術語“Active Directory伺服器”用作“域控制器”的同義詞，但不建議使用該術語。