Alltså, AD är ju en katalogtjänst. Det är det som är själva Directory i AD. Det är i grund och botten till för att hålla koll på datorer och användare som separata objekt på nätverket så att du kan använda centralt hanterade resurser, typ. Sen att just AD har väldigt många andra funktioner är ju en annan femma. Du kan t.ex. använda det för att styra saker baserat på vilken site du är uppkopplad mot och det integrerar ju med t.ex. MECM, Microsoft Exchange etc för att ha ett centralt nav i din IT-miljö som allt annat länkar ihop till.
När du har din domänkopplade laptop och kommer till jobbet med den och loggar in så använder du ett användarnamn och ett lösenord som är lagrat i Active Directory. Datorn kommunicerar med en domänkontrollant som bekräftar att användaren finns och att lösenordet är korrekt. Sedan kan du logga på din dator. Sedan fortsätter datorn prata med AD titt som tätt för att t.ex. se till att klockan går rätt (om man inte synkar mot något annat då, men vanligt är att man synkar tiden med domänen), för att se om det är några nya policies den ska applicera och så vidare. Det är ett sätt att hålla koll på alla datorer och kunna styra dem centralt.
Om du t.ex. har en grupp IT-tekniker som får ha lokal administratörsåtkomst på alla datorer är det väl tämligen drygt att anställa en ny tekniker och sedan gå och manuellt lägga till honom på 400 datorer för att han ska kunna vara administratör? Inte om du har Active Directory och använder en policy så att alla datorer får informationen från ditt AD att gruppen "LocalAdmin" (som finns i AD) ska vara lokal administratör på alla datorer. Då räcker det med att du kommer till jobbet med din laptop och startar upp den på nätverket så kommer din dator få den informationen utskickad via nätverket och snällt lägga till gruppen LocalAdmin i sin egen lokala administratörsgrupp samt kolla vilka som ingår i den, så att när den nya teknikern loggar in på sitt konto så vet datorn om att han ska få administratörsprivilegier.
Generellt sett har bara IT-avdelningen tillgång till servrar som kör AD. Är det ett litet bolag, typ Nisses Skrot och Kebab med fyra anställda, så kör de säkert allt på en och samma server om de ens har ett AD. Där loggar säkert alla in på samma server och gör precis allt (så att när den servern rasar så rasar hela deras företag). På ett medelstort företag är det nog IT-avdelningen som kan komma åt den. På ett stort företag (eller ett som åtminstone har bra säkerhetsrutiner) är det inte ens alla på IT som har full åtkomst i Active Directory, utan bara de personer som ska ha det och bara från de datorer som ska använda för administration av AD.
Domänkontrollanter är de servrar som behöver absolut högst skydd av alla servrar på hela nätverket eftersom att du tar dig vidare till exakt allt annat om du lyckas hacka dig in i en sån. Du kan se Active Directory som hjärnan i hela IT-miljön som alla pratar med konstant för att få uppdaterad information om vad som finns i där. AD har koll på vilka konton som finns, vad som är rätt lösenord till det kontot, vilka datorer som finns, vilka servrar som finns, var alla datorer finns, vad klockan är, vilken IP-adress som går till vilken dator (i det fallet AD hanterar DNS då, vilket är vanligt) etc etc etc. Det är ett register och ingenting man aktivt interagerar med som vanlig användare.
Så för att göra ett långt svar lite kortare: AD styr i princip allt i en Windowsmiljö på ett eller annat sätt och det är absolut ingenting som vanliga anställda är inne och pillar med eller märker av på något sätt. Har du filer som folk ska komma åt ligger de på en filserver, inte på en domänkontrollant. Om du har typ Visma eller något annat program som körs från nätverket så ligger det på en applikationsserver (eller en server specifikt för Visma) och inte på en domänkontrollant. Och hur vet en filserver att Lisa på ekonomi ska komma åt \\Server\Ekonomi? Jo, för hon är med i gruppen "Ekonomi" (som finns i Active Directory), som har rättigheter till den mappen. Och när hon loggar in på sin dator så frågar datorn AD "Vilka grupper är Lisa med i?" och får den informationen. Och när hon försöker öppna Ekonomi-mappen så ser filservern att "lisa" vill läsa mappen, och kollar med AD om hon är med i gruppen som har tillgång. Etc etc etc.