Một trong những khỏi niệm quan trọng nhất của mạng Windows là domain (tức miền hay vựng). Một domain là tập hợp cỏc tài khoản người dựng và tài khoản mỏy tớnh được nhúm lại với nhau để quản lý một cỏch tập trung. Và cụng việc quản lý là dành cho cỏc domain controller (Bộ điều khiển miền) nhằm giỳp tài nguyờn được khai thỏc dễ dàng hơn.
Domain controller thực sự rất quan trọng. Trong mạng, bất kỳ mỏy trạm (workstattion) nào đang chạy hệ điều hành Windows XP cũng cú một nhúm tài khoản người dựng tạo sẵn nào đú. Windows XP thậm chớ cũn cho phộp bạn tạo một số tài khoản bổ xung nếu thấy cần thiết. Nếu mỏy trạm cú chức năng như một hệ thống độc lập hoặc một phần của mạng ngang hàng thỡ tài khoản người dựng mức mỏy trạm (được gọi là tài khoản người dựng cục bộ) khụng thể điều khiển truy cập tài nguyờn trờn mạng. Chỳng chỉ được dựng để điều chỉnh truy cập mỏy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viờn cú thể thực hiện cụng việc bảo dưỡng, duy trỡ mỏy trạm, khụng cho phộp người dựng cuối khả năng can thiệp vào cỏc thiết lập trờn mỏy trạm.
Tài khoản người dựng cục bộ trờn một mỏy trạm nhất định khụng được phộp điểu khiển truy cập tài nguyờn nằm ngoài mỏy trạm đú là nú tăng thờm gỏnh nặng quản lý rất lớn. Tài khoản người dựng cục bộ chỉ nằm trờn cỏc mỏy trạm riờng rẽ. Nếu một tài khoản là cú chức năng bảo mật chớnh trong mạng, quản trị viờn sẽ phải di chuyển vật lý tới mỏy tớnh cú tài khoản đú bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn đề này khụng gõy ra tỏc động gỡ lớn trong mạng nhỏ, nhưng sẽ trở nờn cực kỳ nặng nề với một mạng lớn hay khi cần ỏp dụng thay đổi rộng cho tất cả mọi tài khoản.
Một lý do khỏc là khụng ai muốn phải chuyển tài khoản người dựng từ mỏy này sang mỏy khỏc. Chẳng hạn nếu mỏy tớnh của một người dựng bị phỏ hoại, người đú khụng thể đăng nhập vào mỏy tớnh khỏc để làm việc. Vỡ tài khoản của họ chỉ cú tỏc dụng trờn mỏy cũ. Nếu muốn làm được việc người đú phải tạo tài khoản mới trờn mỏy khỏc.
Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dựng cục bộ cho việc truy cập an toàn tài nguyờn mạng là khụng thực tế. Thậm chớ nếu bạn muốn triển khai bảo mật này, Windows cũng khụng cho phộp. Tài khoản người dựng cục bộ chỉ cú thể dựng tài nguyờn cục bộ trờn một mỏy trạm nhất định.
Domain cú nhiệm vụ giải quyết cỏc vấn đề vừa nờu và một số vấn đề khỏc nữa. Chỳng sẽ tập trung húa tài khoản người dựng (hay cấu hỡnh khỏc, cỏc đối tượng liờn quan đến bảo mật). Điều này giỳp việc quản trị dễ dàng hơn và cho phộp
người dựng đăng nhập từ bất kỳ mỏy tớnh nào cú trờn mạng (trừ khi bạn giới hạn quyền truy cập người dựng).
Về mặt nguyờn lý, khi một người dựng nào đú muốn truy cập tài nguyờn nằm trờn 1 mỏy chủ (server), tài khoản người dựng mức server sẽ được dựng để điều khiển truy cập. Tuy nhiờn cũn nhiều vấn đề mà Domain cung cấp cho người dựng hơn nữa.
Mỗi một Domain là duy nhất, hoạt động độc lập khụng bao giờ lặp lại nhưng nguyờn tắc hoạt động giống nhau. Trong domain tớch hợp thờm thành phần Active Directory (AD) cõy thư mục quản lý và thẩm định người dựng trong Domain.
AD hoạt động như một nơi lưu trữ cỏc đối tượng thư mục (directory), trong đú cú tài khoản người dựng (user account). Và một trong cỏc cụng việc chớnh của bộ điều khiển tờn miền là cung cấp dịch vụ thẩm định. (Điều này sẽ được nghiờn cứu sõu hơn ở phần sau của bỏo cỏo này).
Domain controller cung cấp dịch vụ thẩm định (Authetication) chứ khụng phải là dich vụ cấp phộp (Athoriztion). Tức là, khi một người dựng nào đú đăng nhập vào mạng, một bộ điều khiển sẽ kiểm tra tớnh hợp lệ của Username và password họ nhập vào cú chớnh xỏc và khớp với dữ liệu lưu trong mỏy chủ hay khụng. Nhưng domain controller khụng núi với người dựng họ cú quyền truy cập tài nguyờn nào.
Tài nguyờn trờn mạng Windows được bảo vệ bởi cỏc danh sỏch điều khiển truy cập (ACL - Acscess Control List). Một ACL là danh sỏch chỉ rừ ai cú quyền làm gỡ. Khi người dựng cố gắng truy cập tài nguyờn, họ đưa ra nhõn dạng của mỡnh cho mỏy chủ chứa tài nguyờn đú. Mỏy chủ sẽ kiểm tra để chắc chắn rằng nhõn dạng người dựng này đó được thẩm định. Sau đú tham chiếu chộo đến ACL để xem người dựng cú quyền làm gỡ.
Domain Controller đúng vai trũ hết sức quan trọng trong Windows Server.