Un controlador de dominio es el centro neurálgico de un dominio Windows, tal como un servidor NIS lo es del servicio de información de una red Unix. Los controladores de dominio tienen una serie de responsabilidades. Una de ellas es la autenticación. La autenticación es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra máquina de la red, normalmente a través del uso de una contraseña. No es que les permita a los usuarios validar para ser partes de clientes.

Cada controlador de dominio usa un Security Account Manager (SAM), o NTDS en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como Controlador de Dominio), para mantener una lista de pares de nombre de usuario y contraseña. El controlador de dominio entonces crea un repositorio centralizado de passwords, que están enlazados a los nombres de usuarios (un password por usuario), lo cual es más eficiente que mantener en cada máquina cliente centenares de passwords para cada recurso de red disponible.

En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los recursos compartidos de un servidor, el servidor actúa y pregunta al controlador de dominio si ese usuario está autenticado. Si lo está, el servidor establecerá una conexión de sesión con los derechos de acceso correspondientes para ese servicio y usuario. Si no lo está, la conexión es denegada.

Una vez que un usuario es autenticado por el controlador de dominio, una ficha especial (o token) de autenticación será retornada al cliente, de manera que el usuario no necesitará volver a logearse para acceder a otros recursos en dicho dominio, ya que el usuario se considera logueado en el dominio.