Sur un contrôleur de domaine Windows Server 2016, l’option « Heure d’été automatique » peut apparaître grisée avec le message « Certaines options sont gérées par votre organisation ». Voici la méthode complète pour réactiver le DST sans perturber la synchronisation horaire d’Active Directory.
Impossibilité d’activer l’heure d’été sur un contrôleur de domaine Windows Server 2016
Vue d’ensemble de la question
Un contrôleur de domaine sous Windows Server 2016 affiche, dans Paramètres > Date et heure, le message : « Certaines options sont gérées par votre organisation ». L’option « Heure d’été automatique » est grisée et ne peut pas être activée. Comment rétablir l’activation automatique de l’heure d’été ?
Réponse & solution (synthèse)
| Étapes essentielles | Détails |
|---|---|
| 1. Vérifier les stratégies de groupe (GPO) | Ouvrez la console de gestion des stratégies de groupe (GPMC) sur un contrôleur de domaine : Configuration ordinateur → Modèles d’administration → Système → Fuseau horaire. – Recherchez les paramètres « Désactiver l’ajustement automatique à l’heure d’été » ou « Définir le fuseau horaire ». – Réglez‑les sur « Non configuré » ou « Désactivé », puis forcez l’application : gpupdate /force. |
| 2. Contrôler la stratégie locale (si le serveur est isolé) | Si aucune GPO de domaine n’est configurée, ouvrez gpedit.msc sur le serveur et vérifiez les mêmes chemins que ci‑dessus. |
| 3. Examiner le Registre | Dans Regedit :HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation– La valeur DisableAutoDaylightTimeSet doit être 0 (ou absente). Après modification, redémarrez ou exécutez w32tm /resync. |
| 4. Vérifier les droits utilisateur | Dans la GPO Stratégies → Paramètres Windows → Paramètres de sécurité → Attribution des droits utilisateur, confirmez que le groupe Administrators (ou le compte de service) possède « Changer le fuseau horaire ». |
| 5. S’assurer que le service Windows Time fonctionne | – Service Windows Time (w32time) en mode Automatique. – Commande de diagnostic : w32tm /query /status. |
Informations complémentaires utiles
- Fuseau horaire incorrect : même si l’option DST est grisée, un fuseau horaire mal configuré peut empêcher l’ajustement. Vérifiez que le fuseau horaire sélectionné applique bien l’heure d’été.
- Serveurs virtualisés : certaines plates‑formes d’hyperviseur forcent l’horloge invitée ; désactivez la synchronisation temporelle de l’hôte si nécessaire.
- Contrôleurs de domaine multiples : assurez‑vous qu’aucune autre GPO contradictoire n’est appliquée à un niveau supérieur (Site, Domaine, OU).
Pourquoi l’option « Heure d’été automatique » se retrouve grisée ?
Lorsque Windows affiche « Certaines options sont gérées par votre organisation », cela signifie que l’interface est volontairement verrouillée par une GPO ou par un paramétrage du Registre. Sur un contrôleur de domaine, c’est fréquent : pour éviter les dérives qui casseraient Kerberos, les équipes IT verrouillent la configuration horaire via des stratégies. Deux mécanismes peuvent griser l’option :
- Une GPO qui désactive l’ajustement DST ou impose un fuseau horaire.
- Une valeur de Registre (
DisableAutoDaylightTimeSet) positionnée à1, soit à la main, soit par GPO (Préférences > Registre).
À noter : si le fuseau choisi n’implémente pas l’heure d’été (ex. UTC), Windows masque aussi l’option — ce n’est alors pas un blocage, mais un comportement normal.
Checklist rapide de vérification
| Test | Commande | Résultat attendu |
|---|---|---|
| Inventorier les GPO effectives | gpresult /h C:\Temp\gp.html | Le rapport ne liste aucune GPO désactivant le DST. |
| État du service w32time | sc query w32time | STATE = RUNNING, START_TYPE = AUTO_START. |
| Fuseau horaire courant | tzutil /g ou (Get-TimeZone).Id | Un fuseau qui supporte l’heure d’été (ex. « Romance Standard Time »). |
| Registre DST | reg query HKLM\...\TimeZoneInformation /v DisableAutoDaylightTimeSet | Valeur absente ou 0x0. |
| Synchronisation temporelle | w32tm /query /status | Horloge synchronisée, dérive normale, « Source » cohérente. |
Procédure détaillée pas à pas
Identifier ce qui verrouille l’option
- Sur le contrôleur de domaine concerné, ouvrez une console admin et générez le rapport :
gpresult /h C:\Temp\gpresult.html
Ouvrez le fichier et recherchez les sections « Paramètres de Registre » ou « Modèles d’administration → Système → Fuseau horaire ». - En GPMC, utilisez la recherche : clic droit sur le domaine → Rechercher, puis cherchez DisableAutoDaylightTimeSet ou « Heure d’été ». Inspectez les GPO trouvées.
- Alternative PowerShell (sur une machine avec RSAT/GPMC) :
Import-Module GroupPolicy Get-GPO -All | ForEach-Object { try { Get-GPRegistryValue -Name $_.DisplayName ` -Key "HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" ` -ValueName "DisableAutoDaylightTimeSet" -ErrorAction Stop | Select-Object @{n='GPO';e={$_.GpoName}}, * } catch {} }
Neutraliser les paramètres qui désactivent le DST
- Dans la ou les GPO incriminées :
Configuration ordinateur → Modèles d’administration → Système → Fuseau horaire
– Désactiver l’ajustement automatique à l’heure d’été : passez à Non configuré ou Désactivé.
– Si une GPO « Définir le fuseau horaire » est utilisée, vérifiez qu’elle impose un fuseau qui prend en charge l’heure d’été. Sinon, changez la cible ou laissez l’OS gérer. - Supprimez toute Préférence Registre qui force
DisableAutoDaylightTimeSet=1. - Appliquez :
gpupdate /force(ou redémarrage hors production).
Corriger la machine si elle a été « figée » par le Registre
- Ouvrez regedit.exe et allez à :
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation - Vérifiez/éditez :
–DisableAutoDaylightTimeSet(REG_DWORD) =0(ou supprimez-la s’il n’y a pas de GPO).
–TimeZoneKeyName(REG_SZ) = l’ID du fuseau visé (ex. Romance Standard Time pour Paris). - Commandes équivalentes en CLI :
reg add "HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" ^ /v DisableAutoDaylightTimeSet /t REG_DWORD /d 0 /f tzutil /s "Romance Standard Time"
Vérifier les droits et l’état du service de temps
- Droits : dans Stratégies → Paramètres Windows → Paramètres de sécurité → Attribution des droits utilisateur, vérifiez « Changer le fuseau horaire ». À minima : groupe Administrators.
- Windows Time :
– Démarrage automatique :sc qc w32time
– État :sc query w32time
– Diagnostic :w32tm /query /statusetw32tm /query /configuration
Points d’attention en environnement Active Directory
La cohérence temporelle est critique pour Kerberos. Ne changez pas arbitrairement la source de temps d’un contrôleur de domaine :
- Membres du domaine & DC (hors PDC Émulateur) : doivent se synchroniser via la hiérarchie de domaine (
NT5DS). Commande de remise en conformité :w32tm /config /syncfromflags:DOMHIER /update - Contrôleur de domaine PDC Émulateur : doit être synchronisé sur des NTP fiables (si votre design l’exige). Exemple :
w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" ` /syncfromflags:manual /reliable:yes /update w32tm /resync /rediscover
Scénarios fréquents et résolution
| Symptôme | Cause probable | Correctif recommandé |
|---|---|---|
| Option DST grisée + message « gérée par votre organisation » | GPO ou Préférence Registre bloque l’option | Désactiver le paramètre GPO, supprimer la préférence DisableAutoDaylightTimeSet, gpupdate /force |
| Option absente | Fuseau horaire qui n’implémente pas l’heure d’été (ex. UTC) | tzutil /s "Romance Standard Time" (ou fuseau local adapté) |
| Heure correcte mais décalage au passage à l’heure d’été | Serveur non patché, règles DST obsolètes | Installer les mises à jour cumulatives, redémarrer, vérifier tzutil /g |
| Heure « oscille » dans une VM | Synchronisation concurrente : hyperviseur + w32time | Désactiver la synchro horaire de l’hôte (Hyper‑V/VMware) pour les DC, garder w32time |
| Admins ne peuvent pas changer le fuseau | Droit « Changer le fuseau horaire » retiré par GPO | Restituer le droit au groupe Administrators via GPO |
Vérifications finales (contrôles de cohérence)
- Dans Paramètres → Heure et langue → Date et heure, la bascule « Heure d’été automatique » n’est plus grisée (sauf si votre fuseau n’implémente pas le DST).
(Get-TimeZone).SupportsDaylightSavingTimeretourneTrue.Get-Date -Format "yyyy-MM-dd HH:mm zzz"affiche l’offset attendu (ex. +02:00 en été à Paris).- Journal d’événements : Windows Logs → System, sources Time-Service ou Kernel-General, sans erreurs récurrentes au passage d’heure.
Script d’autoremédiation prudent (à lancer une fois le verrou GPO levé)
Le bloc ci‑dessous remet des réglages cohérents côté machine. À utiliser sur un DC non‑PDC en respectant votre politique de temps.
# Vérifier le fuseau et activer le DST
$targetTz = "Romance Standard Time" # adaptez selon votre localisation
Set-TimeZone -Id $targetTz
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" `
-Name "DisableAutoDaylightTimeSet" -PropertyType DWord -Value 0 -Force | Out-Null
# S'assurer que la synchro passe par la hiérarchie AD (hors PDC)
w32tm /config /syncfromflags:DOMHIER /update | Out-Null
Set-Service -Name w32time -StartupType Automatic
Restart-Service w32time -Force
w32tm /resync /nowaitCas particuliers et bonnes pratiques
- Environnements RDS / serveurs publiés : appliquez le réglage via une GPO centrale et filtrez par OU pour éviter d’impacter des serveurs où l’UTC est requis.
- Sites multiples : si vos DC couvrent plusieurs fuseaux, laissez le DST « automatique » et définissez le fuseau local par site (évitez de forcer UTC si l’application attend l’heure locale).
- Maintenance : avant chaque bascule saisonnière, validez l’état w32time (
w32tm /query /status), le fuseau (tzutil /g) et l’absence de GPO bloquante. - Hyper‑V : désactivez l’intégration Time Synchronization sur les DC (propriétés de la VM), sauf justification. VMware : décochez « Synchronize guest time with host ».
- Conformité : documentez le changement dans votre CMDB et joignez le
gpresult.htmlen pièce de preuve.
Questions fréquentes (FAQ)
Q : Pourquoi l’option reste‑t‑elle grisée alors que j’ai mis DisableAutoDaylightTimeSet=0 ?
R : Parce qu’une GPO continue de poser la valeur à 1 à chaque actualisation. Supprimez la préférence Registre ou mettez la GPO à « Non configuré », puis gpupdate /force.
Q : L’option est grisée, mais nous voulons volontairement rester en UTC sans DST. Que faire ?
R : Laissez la GPO qui désactive l’ajustement et choisissez un fuseau sans DST (ex. UTC). Documentez votre décision pour l’audit.
Q : Après réactivation, l’heure reste décalée de quelques minutes.
R : Le paramètre DST ne corrige pas une dérive de synchronisation. Traitez la source de temps : vérifiez la topologie (PDC Emulator, peers NTP) et l’état w32time.
Q : Peut‑on pousser le fuseau horaire par GPO ?
R : Oui, via Préférences → Registre (clés TimeZoneKeyName, DisableAutoDaylightTimeSet) ou via un Startup Script (tzutil /s). Préférez toutefois le paramétrage par OU avec filtrage pour éviter les mauvaises affectations.
Exemple de déroulé opérationnel
- Mettre en quarantaine la GPO suspecte (scope limité à un groupe de test).
- Supprimer toute préférence
DisableAutoDaylightTimeSet, repasser les paramètres à « Non configuré ». - Appliquer
gpupdate /force, redémarrer si nécessaire. - Fixer le fuseau correct (
Set-TimeZoneoutzutil). - Vérifier
w32tm /query /status, valider dans l’Observateur d’événements qu’aucune erreur de temps n’est générée.
Résumé
La grisation de l’option « Heure d’été automatique » est quasi toujours le signe d’une GPO ou d’une valeur de Registre qui verrouille la fonction. En neutralisant ces paramètres (GPO à « Non configuré », DisableAutoDaylightTimeSet=0), en confirmant les droits (« Changer le fuseau horaire ») et l’intégrité w32time, puis en validant le fuseau sélectionné, vous restaurez une bascule DST fiable, conforme aux attentes de vos utilisateurs et aux exigences de sécurité d’Active Directory.