Домен - це основна одиниця адміністрування та забезпечення безпеки в Windows NT. Для домену існує загальна база даних облікової інформації користувачів (user accounts), так що при вході в домен користувач отримує доступ відразу до всіх дозволеним ресурсів всіх серверів домену.
Довірчі відносини (trust relationships) забезпечують транзитну аутентифікацію, при якій користувач має тільки один обліковий запис в одному домені, але може отримати доступ до ресурсів всіх доменів мережі.
Мал. 3.20. Довірчі відносини між доменами
Користувачі можуть входити в мережу не тільки з робочих станцій того домену, де зберігається їх облікова інформація, а й з робочих станцій доменів, які довіряють цьому домену. Домен, який зберігає облікову інформацію, часто називають обліковим, а довіряє домен - ресурсним.
Довірчі відносини не є транзитивними. Наприклад, якщо домен А довіряє домену В, а В довіряє С, то це не означає, що А автоматично довіряє С.
В домені повинен знаходиться сервер, що виконує роль основного контролера домену (primary domain controller). Цей контролер зберігає первинну копію бази даних облікової інформації користувачів домену. Всі зміни, вироблені в обліковій інформації, спочатку виробляються саме в цій копії. Основний контролер домену завжди існує в єдиному екземплярі. Користувач, який адмініструє домен, не повинен явно задавати ім'я комп'ютера, який виконує роль основного контролера, утиліта, в допомогою якої здійснюється адміністрування (в Windows NT це User Manager for Domains), повинна по імені домена самостійно, відповідно до заздалегідь розробленого протоколом провести діалог з основним контролером домену і зробити потрібні зміни в його базі даних.
Резервний контролер домену вирішує два завдання:
- Він стає основним контролером при відмові основного.
- Зменшує навантаження на основний контролер по обробці логічних входів користувачів.
Якщо мережа складається з декількох мереж, з'єднаних глобальними зв'язками, то в кожній мережі повинен бути принаймні один резервний контролер домену.
Звичайний сервер (не основний або резервний контролер домену) може бути членом домену, а може і не бути. Якщо він бере участь в домені, то він користується обліковою інформацією, що зберігається на контролері домену. Якщо ж ні - то доступ до всіх його ресурсів мають тільки користувачі, які заведені в базі облікової інформації цього сервера.