Windows NT Server'ın temel birimi olan etki alanı, bir veritabanını paylaşan ve ortak bir güvenlik politikası olan bilgisayarlar grubudur. Etki alanı, birincil etki alanı denetçisi (primary domain controller-PDC) olarak işlev gören bir bilgisayar, yedek etki alam denetçisi (backup domain controller-BDC) olarak işlev gören en az bir bilgisayar ve en az bir iş istasyonu içerir. Ek iş istasyonları olabileceği gibi, ek yedek etki alanı denetçileri ve sunucular da olabilir.Etki alanının, sunucu içeren bir tür çalışma grubu olduğu söylenebilir. Bilgisayarlar arasında kablolardan daha fazla bir bağlantı olan, başka bir deyişle, ortak bilgi gereksinimleri ve çalışmaları olan kullanıcıların mantıksal bir gruplamasıdır. Amaç hala, kullanıcıların kendi grupları içinde kaynaklan paylaşmalarına izin vermek, böylece grup üyelerinin birlikte ve verimli çalışmalarını kolaylaştırmaktır. Bir etki alanındaki temel fark, ağın tek bir noktasında yönetime ve denetime izin veren bir sunucunun varlığıdır.

            Bir Windows NT Server ağı, tek bir etki alanını veya (dünya çapında binlerce bireysel iş istasyonu olan geniş şirket ağları gibi) birbiriyle bağlantılı birçok etki alanını içerebilir. îkinci durumda, birbirinden bağımsız iş istasyonları, belirli erişim gerekleriyle, belirli etki alanlarında gruplandırılmışlardır. Etki alanı kavramının gerçek güzelliği, tayfın her iki ucundaki etki alanı modellerini ve aradaki bileşen ve değişkenleri destekleyecek şekilde kolayca büyüyüp küçülebilmesidir.

Windows NT Etki Alanı Modelinin Üstünlükleri

    Windows NT ağı etki alanı modelinin üstünlükleri şunlardır:

•  Esnek tasarım yapılandırması

•  Merkezileşmiş  ağ  yönetimi

•  Yeni kullanıcı eklenmesinde ve erişim kısıtlamalarının değiştirilmesinde esneklik            Şekil 1.1

•   Kullanıcı hesaplan için tek bir veritabanı

•  Tüm bir etki alanı için tek bir birleşik güvenlik sistemi

•  Dosya ve dizinlerin isteğe bağlı erişim denetlemesi

             Eş düzeydeki ağı sürdürmek için gereken makine temelinde yönetim, bir çalışma grubunun verimli olarak ulaşabileceği en büyük boyutu ciddi bir biçimde sınırlamaktadır. Windows NT Server sisteminde ise sınırlamalar, yalnızca işinizde hangi bölümlemelerin anlam taşıdığına bağlıdır. Tüm bir şirket (büyük bile olsa), tek bir Windows NT Server etki alanı olarak yönetilebilir. Şirketinizin tüm kullanıcıları tek bir çatı altında olsa ve erişebilecekleri  kaynaklara  göre kullanıcıları  gruplamak  gerekmese de, ağınızda  istediğiniz  kadar ve buna karşılık tek bir  yönetsel  denetim noktası  olabilir.

             Birincil etki alanı denetçisi, bir etki.alanındaki en önemli bilgisayardır. Etki alanı için güvenlik politikalarını uygular ve hesap veritabanı için de ana depodur. Aynı zamanda etki alanının paylaşılan kaynaklan için birincil tutucu da olabilir; ancak, birincil etki alanı denetçisinin bu işlevi yerine getirmesi gerekli değildir, hatta istenmeyen bir durum olabilir.

              Kullanıcı hesabı veritabanındaki değişiklikler yalnızca birincil etki alanı denetçisinde yapılabilir; daha sonra bu değişiklikler, veritabanının salt okunur kopyalarının tutulduğu yedek etki alanı denetçilerine otomatik olarak yayılır. Yönetici olarak oturum açtığınızda birincil etki alanı denetçisinde çalışıp çalışmadığınıza bakılmaksızın, tüm değişiklikleriniz birincil etki alanı denetçisinin veritabanına yapılır. Kullanıcı hesaplarını yönetmek için kullandığınız araç User Manager for Domains'dir (Şekil 1.2). User Manager for Domains'i çalıştırdığınızda hangi sunucuya oturum açacağınızı seçmezsiniz, yalnızca yönetmek istediğiniz etki alanını seçersiniz.

               Birincil etki alanı denetçisi ağ üzerinde olmasa bile, bir veya daha fazla yedek etki alanı denetçileri yaratmışsanız ve bunlardan da en az biri ağ üzerindeyse, kullanıcılar ağa oturum açmaya devam edebilirler. Bununla birlikte, birincil etki alanı denetçisi ağa dönmediği veya yedek etki alanı denetçilerinden birini birincil etki alanı denetçisine dönüştürmediğiniz sürece, etki alanında kullanıcı veya grup hesaplarını değiştiremez veya etki alanından kullanıcı ve grupları kaldıramazsınız.

                Windows NT Server etki alanının, bir veya daha fazla yedek etki alanı denetçileri olabilir ve birçok durumda olmalıdır da. Her yedek etki alanı denetçisi, hesap veritabanının bir kopyasını içerir; kullanıcılar sisteme oturum açtıklarında onları onaylayabilir ve kaynaklara kullanıcı erişimini yetkilendirebilir. Bu, birincil etki alanı denetçisinin çökmesi olasılığına karşı sistemdeki paylaşılan önemli kaynakların artıklığını sağlar. Yedek etki alanı denetçilerinden bir tanesi birinci etki alanı denetçisi olarak değiştirilebilir ve ağ (başarısız olan sunucuda fiziksel olarak konumlandırılan kaynaklara erişim dışında), normal olarak işlemeye devam eder. Sınırlı sayıda kullanıcının yer aldığı küçük bir etki alanında, yedek etki alanın bulunması şart olmasa da, iyi olabilir. Ağda, yalnızca birincil etki alam denetçisi bulunuyorsa ve o sunucu da kullanılabilir durumda değilse, tüm ağ devre dışı kalacaktır.