Un domaine est une unité d'administration :
si on a plusieurs  serveurs dans le domaine, on déclare un compte par domaine et non par  serveurs.
Base distribuée de comptes : netlogon
La notion de domaine est indépendante des réseaux physiques et/ou des réseaux IP ( au sens  numéro IP ).

 Pour des raisons de sécurité, 1 serveur de domaine ne peut pas changer : réinstallation obligatoire.

Un serveur WinNT4 peut avoir 3 rôles

PDC : primary domain  controler
BDC : Backup Domain Controler
SERVER : pas de copie de la base.

Installer un PDC crée automatiquement le domaine associé.
Le premier serveur WinNT installé dans un domaine est obligatoirement PDC.

Groupe de travail : ( 3.X et 95 ont uniquement des groupes de travail ) : Chaque machine garde son mécanisme de sécurité. Les comptes sont uniquement locaux.

Rôle ducontrôleur principal : PDC
Présence impérative d'un ordinateur avec WinNT4.0 pour avoir un domaine.
Il contient l'original de la base de données des utilisateurs et des groupes du domaine. Toutes les modifications de la base doivent être faites sur cette exemplaire.

Rôle du contrôleur secondaire : BDC
Il contient une copie de la base des utilisateurs et des groupes du domaine. La duplication se fait automatiquement sur tous les BDC.
Il peut traiter les demandes d'ouverture de session.
Il a donc un rôle actif permanent dans le domaine.
En cas de panne du primaire, il le remplace dans toutes ses fonctions.

 Rôle du NT4Server et du NT4Wks, ni PDC, ni BDC
Il ne possède pas de copie de la base.
Il autorise des comptes d'administrateurs et d'utilisateurs locaux différents du domaine.

NT4WKS favorise le travail local alors que NT4Server favorise le travail en réseau.

Relation entre groupe de travail et domaine :
Un NT4 peut accéder sans problème aux ressources partagées d'un Windows 3.11 WFW.
Les Windows 3.11 WFW sont organisés en groupe de travail et ils peuvent parcourir le réseau par le biais des groupes de travail ou des domaines ( pour y accéder l'utilisateur devra être déclaré dans le domaine ).

 Autoriser les utilisateurs de Sales à accéder aux ressources de Production.
Ajout d'un groupe global du " trusted domain "dans un groupe local du " trusting domain ".

 Synchronisation du PDC et du BDC :

Pour éviter les incohérences des bases
Effectuée par le service " NetLogon " ( Directory service Synchronisation )

3 bases à synchroniser :

SAM Account Database : utilisateurss, groupes et stations du domaine.
SAM Built-in Database : utilisateurs par défaut
LSA DataBase : mot de passe et stratégie

Quand ?

Démarrage du BDC
forcé par l’administrateur
forcé par le PDC en  fonction des registres.

Par défaut, le PDC regarde sa base toutes les 5 Minutes. S'il y a eu une modification, il envoie un message à tous les BDC qui ne sont pas à jour. Ce paramètre peut être modifié en passant par le NetLogon services du Server Manager.