Birincil etki alanı denetleyicisi (PDC), yerel ağın (LAN) belirli bir bölümündeki kullanıcıları ve grupları yönetmek için bilgisayar ağlarında kullanılan bir sunucudur. Sunucu, ağdaki diğer bilgisayarlar veya yazıcılar gibi ağ kaynakları için kullanıcı bilgilerini ve erişim izinlerini saklar. PDC daha sonra kullanıcıların ağda oturum açmaları ve kaynaklarına erişebilmeleri için tek bir erişim noktası sağlar ve böylece birden fazla kullanıcı adı ve şifre kombinasyonunu hafifletir.
Kullanıcı yönetimi için birincil etki alanı denetleyicisinin kullanılması, 1990'larda Microsoft® WindowsNT® işletim sisteminin piyasaya sürülmesiyle ortaya çıktı. Bir Windows® ağı daha sonra bu merkezi kullanıcı yönetimi kaynağı olarak çalışan bir WindowsNT® sunucusuyla kurulabilir ve ağdaki diğer bilgisayarlar için oturum açabilir. Bu, kullanıcının bu iş istasyonunda bir kullanıcı hesabı oluşturmak zorunda kalmadan PDC tarafından kontrol edilen herhangi bir iş istasyonunu çalıştırmasına izin verdi. Başka bir WindowsNT® sunucusu, PDC'nin kullanılamaması durumunda yedek etki alanı denetleyicisi (BDC) olarak kurulur. Windows® 2000 ve Active Directory®'nin ortaya çıkmasıyla birlikte, etki alanı denetleyicileri artık birincil veya ikincil bir ayrım taşımamaktadır.
Birincil etki alanı denetleyicisi, kullanıcıların bir veritabanını ve belirli bir etki alanı için izinlerini tutar. Bu veritabanı daha sonra herhangi bir sayıda yedek sunucu ile paylaşılır. PDC, bu veritabanında hem okuma hem de yazma özelliğine sahip olan bu ağ türündeki sunucudur. Bununla birlikte BDC, PDC'den paylaşılan veritabanı bilgisine dayanarak kullanıcıların ağda oturum açmalarına izin verebilir, ancak veritabanında yapılan değişiklikler PDC'de gerçekleşir.
Etki alanındaki herhangi bir PDC veya BDC olarak davranmayan diğer herhangi bir sunucu üye sunucu olarak kabul edilir. Bir üye sunucu bir etki alanından diğerine taşınabilirken, birincil etki alanı denetleyicisi veya yedek etki alanı denetleyicisi olamaz. Bunun nedeni, hem PDC'ye hem de etki alanındaki herhangi bir BDC'ye, ait oldukları etki alanına özel olan benzersiz bir güvenlik tanımlayıcısı verilmiş olmasıdır.
Belirli bir LAN için birden çok etki alanı olabileceğinden, herhangi bir etki alanının birincil etki alanı denetleyicisi, başka bir etki alanının PDC'si ile güven ilişkisi kurabilir. Bir yönetici, alternatif alan adının PDC'si için bir güven hesabı oluşturur. Bu iki yönlü bir cadde, her iki PDC'nin de başkalarının kaynaklarına erişebilmek için oluşturulmuş bir güven ilişkisi hesabına sahip olması gerekir. Bağlantı kurulduktan sonra, kullanıcılara ve gruplara alternatif alan adının PDC'sinde izinler verilebilir.
Heterojen ağlar yaygın olduğu için, özgür yazılım geliştiricileri Samba sunucu yazılımında Linux® ve diğer Unix® işletim sistemlerinde çalışabilen etki alanı denetleyici yetenekleri de uygulamaktadır. Bir LINUX® veya UNIX® sunucusunda çalışan bir Samba uygulaması, bir ağ için birincil etki alanı denetleyicisi veya Samba PDC için bir BDC işlevi görecek şekilde yapılandırılabilir. Ancak bir Samba BDC, bir Microsoft® Windows® PDC'yi destekleyemez.
