Контролери домену відрізняються від серверів-учасників, оскільки вони зберігають інформацію каталогу та надають автентифікацію та служби каталогів для домену. Окремі сервери не є частиною домену. Оскільки окремі сервери мають власні бази даних, вони аутентифікують запити на вхід незалежно.
Для надійності та забезпечення безперебійної роботи в рамках одного домену працюють кілька контролерів: один призначається основним (PDC, або Primary Domain Controller), інші — резервними (BDC, чи Backup Domain Controller).
Active Directory – це фреймворк, який керує кількома доменами серверів Windows. На відміну від цього, контролер домену – це сервер в Active Directory для автентифікації користувачів на основі даних, що централізовано зберігаються. Кожен ліс Active Directory може мати кілька доменів.
Це необхідно для того, щоб у разі втрати зв'язку або виходу з ладу першого контролера домену, додатковий контролер домену зміг обробляти запити користувачів. Тоді робота в мережі буде безупинною, у разі проблем одного з контролерів, другий виконуватиме ті ж функції.
Сервер-учасник — це комп'ютер у домені, який може виконувати функції файлового, прикладного, веб- та принт-сервера. DC, з іншого боку, відповідає за автентифікацію та авторизацію. Крім того, лише адміністратори домену повинні мати дозволи на вхід до DC.
За замовчуванням, клієнтські комп'ютери в мережі Microsoft Windows синхронізують свій час зі своїм контролером домену, а контролер домену бере час з контролера домену, що виконує роль майстра операцій.
Контролерів домену має бути мінімум 2.
Контролери домену контролюють весь доступ до домену, блокуючи несанкціонований доступ до доменних мереж, водночас дозволяючи користувачам доступ до всіх авторизованих служб каталогів . Контролер домену є посередником у всьому доступі до мережі, тому важливо захистити його за допомогою додаткових механізмів безпеки, таких як: брандмауери.