Kontroler domeny to komputer, na którym uruchomiono usługę Active Directory. AD zarządza dostępem użytkowników do sieci i jej zasobów. W małej sieci wystarczy jeden kontroler w domenie (ze względu na nadmiarowość, lepszym rozwiązaniem są co najmniej dwa kontrolery zawierające kopię bazy danych). W dużych sieciach zwykle konfiguruje się kilka kontrolerów, ze względu na rozłożenie ruchu.

Dzięki replikacji danych, kontrolery mają jednakowe bazy danych o obiektach w sieci. Pozwala to klientom uzyskać informacje od dowolnego z nich. Modyfikację danych można wykonać na dowolnym kontrolerze, a proces replikacji zapewni dystrybucję zmienionych danych do pozostałych kontrolerów.

W Windows Server od wersji 2008 wprowadzono kontroler tylko do odczytu (Read-Only Domain Controller). Stosowany jest zwykle w oddziałach firmy, gdzie niewielka prędkość łącza WAN wymusza instalację kontrolera w oddziale (uwierzytelnienie na oddalonym kontrolerze poprzez łącze WAN byłoby zbyt powolne).

Trzeba pamiętać, że zainstalowanie Active Directory i promocja serwera do roli kontrolera domeny, spowoduje zablokowanie wszystkich kont lokalnych. Podczas instalacji zostaną utworzone nowe konta w domenie. Zostanie również zainstalowany serwer DNS, obsługujący domenę, oraz DHCP, jeśli jest wymagany.