Dit is waarom:

* Domeinstructuur: In een Windows NT 4.0-domeinomgeving (waar Windows 95 voornamelijk mee zou communiceren), bevat de PDC het hoofdexemplaar van de Security Account Manager (SAM)-database. Deze database bevat alle gebruikersaccounts, groepen en de bijbehorende wachtwoorden.

* Authenticatieproces: Wanneer een gebruiker probeert in te loggen op het domein vanaf een Windows 95-client, gebeurt het volgende:

1. De client stuurt de gebruikersnaam en het wachtwoord (versleuteld) naar een domeincontroller. Windows 95-clients zijn normaal gesproken geconfigureerd om de PDC te gebruiken.

2. De domeincontroller (idealiter de PDC of een back-updomeincontroller, hoewel alleen de PDC een beschrijfbare kopie van de SAM bevat) ontvangt het inlogverzoek.

3. De PDC controleert de SAM-database om de gebruikersnaam en het wachtwoord te verifiëren.

4. Als de inloggegevens overeenkomen, stuurt de PDC een authenticatietoken terug naar de client.

5. De client gebruikt dit token om toegang te krijgen tot bronnen binnen het domein.

* Back-up van domeincontrollers (BDC's): Hoewel BDC's ook konden worden geconfigureerd, bevatten deze alleen-lezen kopieën van de SAM-database. Alle wijzigingen (zoals wachtwoordwijzigingen) worden naar de PDC gerepliceerd. Voor de *gezaghebbende* validatie was de PDC de bron. Dit hielp ook bij de beschikbaarheid, want als de PDC niet beschikbaar was, kon de authenticatie nog steeds plaatsvinden.

Samenvattend:hoewel BDC's *betrokken* kunnen zijn bij het authenticatieproces (vooral in grotere netwerken of als de PDC tijdelijk niet beschikbaar is), is de *gezaghebbende* wachtwoordvalidatie voor een Windows 95-client in een domein uiteindelijk afhankelijk van de PDC en zijn SAM-database.