Windows Server 2016 — Contrôleur de domaine : « Heure d’été automatique » grisée (DST) – corriger via GPO, Registre et w32tm

Sur un contrôleur de domaine Windows Server 2016, l’option « Heure d’été automatique » peut apparaître grisée avec le message « Certaines options sont gérées par votre organisation ». Voici la méthode complète pour réactiver le DST sans perturber la synchronisation horaire d’Active Directory.

Impossibilité d’activer l’heure d’été sur un contrôleur de domaine Windows Server 2016

Vue d’ensemble de la question

Un contrôleur de domaine sous Windows Server 2016 affiche, dans Paramètres > Date et heure, le message : « Certaines options sont gérées par votre organisation ». L’option « Heure d’été automatique » est grisée et ne peut pas être activée. Comment rétablir l’activation automatique de l’heure d’été ?

Réponse & solution (synthèse)

Étapes essentielles	Détails
1. Vérifier les stratégies de groupe (GPO)	Ouvrez la console de gestion des stratégies de groupe (GPMC) sur un contrôleur de domaine : Configuration ordinateur → Modèles d’administration → Système → Fuseau horaire. – Recherchez les paramètres « Désactiver l’ajustement automatique à l’heure d’été » ou « Définir le fuseau horaire ». – Réglez‑les sur « Non configuré » ou « Désactivé », puis forcez l’application : gpupdate /force.
2. Contrôler la stratégie locale (si le serveur est isolé)	Si aucune GPO de domaine n’est configurée, ouvrez gpedit.msc sur le serveur et vérifiez les mêmes chemins que ci‑dessus.
3. Examiner le Registre	Dans Regedit : HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation – La valeur DisableAutoDaylightTimeSet doit être 0 (ou absente). Après modification, redémarrez ou exécutez w32tm /resync.
4. Vérifier les droits utilisateur	Dans la GPO Stratégies → Paramètres Windows → Paramètres de sécurité → Attribution des droits utilisateur, confirmez que le groupe Administrators (ou le compte de service) possède « Changer le fuseau horaire ».
5. S’assurer que le service Windows Time fonctionne	– Service Windows Time (w32time) en mode Automatique. – Commande de diagnostic : w32tm /query /status.

Informations complémentaires utiles

• Fuseau horaire incorrect : même si l’option DST est grisée, un fuseau horaire mal configuré peut empêcher l’ajustement. Vérifiez que le fuseau horaire sélectionné applique bien l’heure d’été.
• Serveurs virtualisés : certaines plates‑formes d’hyperviseur forcent l’horloge invitée ; désactivez la synchronisation temporelle de l’hôte si nécessaire.
• Contrôleurs de domaine multiples : assurez‑vous qu’aucune autre GPO contradictoire n’est appliquée à un niveau supérieur (Site, Domaine, OU).

---

Pourquoi l’option « Heure d’été automatique » se retrouve grisée ?

Lorsque Windows affiche « Certaines options sont gérées par votre organisation », cela signifie que l’interface est volontairement verrouillée par une GPO ou par un paramétrage du Registre. Sur un contrôleur de domaine, c’est fréquent : pour éviter les dérives qui casseraient Kerberos, les équipes IT verrouillent la configuration horaire via des stratégies. Deux mécanismes peuvent griser l’option :

1. Une GPO qui désactive l’ajustement DST ou impose un fuseau horaire.
2. Une valeur de Registre (DisableAutoDaylightTimeSet) positionnée à 1, soit à la main, soit par GPO (Préférences > Registre).

À noter : si le fuseau choisi n’implémente pas l’heure d’été (ex. UTC), Windows masque aussi l’option — ce n’est alors pas un blocage, mais un comportement normal.

Checklist rapide de vérification

Test	Commande	Résultat attendu
Inventorier les GPO effectives	gpresult /h C:\Temp\gp.html	Le rapport ne liste aucune GPO désactivant le DST.
État du service w32time	sc query w32time	STATE = RUNNING, START_TYPE = AUTO_START.
Fuseau horaire courant	tzutil /g ou (Get-TimeZone).Id	Un fuseau qui supporte l’heure d’été (ex. « Romance Standard Time »).
Registre DST	reg query HKLM\...\TimeZoneInformation /v DisableAutoDaylightTimeSet	Valeur absente ou 0x0.
Synchronisation temporelle	w32tm /query /status	Horloge synchronisée, dérive normale, « Source » cohérente.

Procédure détaillée pas à pas

Identifier ce qui verrouille l’option

1. Sur le contrôleur de domaine concerné, ouvrez une console admin et générez le rapport :
   gpresult /h C:\Temp\gpresult.html
   Ouvrez le fichier et recherchez les sections « Paramètres de Registre » ou « Modèles d’administration → Système → Fuseau horaire ».
2. En GPMC, utilisez la recherche : clic droit sur le domaine → Rechercher, puis cherchez DisableAutoDaylightTimeSet ou « Heure d’été ». Inspectez les GPO trouvées.
3. Alternative PowerShell (sur une machine avec RSAT/GPMC) :
   Import-Module GroupPolicy Get-GPO -All | ForEach-Object { try { Get-GPRegistryValue -Name $_.DisplayName ` -Key "HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" ` -ValueName "DisableAutoDaylightTimeSet" -ErrorAction Stop | Select-Object @{n='GPO';e={$_.GpoName}}, * } catch {} }

Neutraliser les paramètres qui désactivent le DST

• Dans la ou les GPO incriminées :
  Configuration ordinateur → Modèles d’administration → Système → Fuseau horaire
  – Désactiver l’ajustement automatique à l’heure d’été : passez à Non configuré ou Désactivé.
  – Si une GPO « Définir le fuseau horaire » est utilisée, vérifiez qu’elle impose un fuseau qui prend en charge l’heure d’été. Sinon, changez la cible ou laissez l’OS gérer.
• Supprimez toute Préférence Registre qui force DisableAutoDaylightTimeSet=1.
• Appliquez : gpupdate /force (ou redémarrage hors production).

Corriger la machine si elle a été « figée » par le Registre

1. Ouvrez regedit.exe et allez à :
   HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
2. Vérifiez/éditez :
   – DisableAutoDaylightTimeSet (REG_DWORD) = 0 (ou supprimez-la s’il n’y a pas de GPO).
   – TimeZoneKeyName (REG_SZ) = l’ID du fuseau visé (ex. Romance Standard Time pour Paris).
3. Commandes équivalentes en CLI :
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" ^ /v DisableAutoDaylightTimeSet /t REG_DWORD /d 0 /f tzutil /s "Romance Standard Time"

Vérifier les droits et l’état du service de temps

• Droits : dans Stratégies → Paramètres Windows → Paramètres de sécurité → Attribution des droits utilisateur, vérifiez « Changer le fuseau horaire ». À minima : groupe Administrators.
• Windows Time :
  – Démarrage automatique : sc qc w32time
  – État : sc query w32time
  – Diagnostic : w32tm /query /status et w32tm /query /configuration

Points d’attention en environnement Active Directory

La cohérence temporelle est critique pour Kerberos. Ne changez pas arbitrairement la source de temps d’un contrôleur de domaine :

• Membres du domaine & DC (hors PDC Émulateur) : doivent se synchroniser via la hiérarchie de domaine (NT5DS). Commande de remise en conformité :
  w32tm /config /syncfromflags:DOMHIER /update
• Contrôleur de domaine PDC Émulateur : doit être synchronisé sur des NTP fiables (si votre design l’exige). Exemple :
  w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" ` /syncfromflags:manual /reliable:yes /update w32tm /resync /rediscover

Scénarios fréquents et résolution

Symptôme	Cause probable	Correctif recommandé
Option DST grisée + message « gérée par votre organisation »	GPO ou Préférence Registre bloque l’option	Désactiver le paramètre GPO, supprimer la préférence DisableAutoDaylightTimeSet, gpupdate /force
Option absente	Fuseau horaire qui n’implémente pas l’heure d’été (ex. UTC)	tzutil /s "Romance Standard Time" (ou fuseau local adapté)
Heure correcte mais décalage au passage à l’heure d’été	Serveur non patché, règles DST obsolètes	Installer les mises à jour cumulatives, redémarrer, vérifier tzutil /g
Heure « oscille » dans une VM	Synchronisation concurrente : hyperviseur + w32time	Désactiver la synchro horaire de l’hôte (Hyper‑V/VMware) pour les DC, garder w32time
Admins ne peuvent pas changer le fuseau	Droit « Changer le fuseau horaire » retiré par GPO	Restituer le droit au groupe Administrators via GPO

Vérifications finales (contrôles de cohérence)

1. Dans Paramètres → Heure et langue → Date et heure, la bascule « Heure d’été automatique » n’est plus grisée (sauf si votre fuseau n’implémente pas le DST).
2. (Get-TimeZone).SupportsDaylightSavingTime retourne True.
3. Get-Date -Format "yyyy-MM-dd HH:mm zzz" affiche l’offset attendu (ex. +02:00 en été à Paris).
4. Journal d’événements : Windows Logs → System, sources Time-Service ou Kernel-General, sans erreurs récurrentes au passage d’heure.

Script d’autoremédiation prudent (à lancer une fois le verrou GPO levé)

Le bloc ci‑dessous remet des réglages cohérents côté machine. À utiliser sur un DC non‑PDC en respectant votre politique de temps.

# Vérifier le fuseau et activer le DST
$targetTz = "Romance Standard Time"   # adaptez selon votre localisation
Set-TimeZone -Id $targetTz
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\TimeZoneInformation" `
 -Name "DisableAutoDaylightTimeSet" -PropertyType DWord -Value 0 -Force | Out-Null

# S'assurer que la synchro passe par la hiérarchie AD (hors PDC)

w32tm /config /syncfromflags:DOMHIER /update | Out-Null
Set-Service -Name w32time -StartupType Automatic
Restart-Service w32time -Force
w32tm /resync /nowait

Cas particuliers et bonnes pratiques

• Environnements RDS / serveurs publiés : appliquez le réglage via une GPO centrale et filtrez par OU pour éviter d’impacter des serveurs où l’UTC est requis.
• Sites multiples : si vos DC couvrent plusieurs fuseaux, laissez le DST « automatique » et définissez le fuseau local par site (évitez de forcer UTC si l’application attend l’heure locale).
• Maintenance : avant chaque bascule saisonnière, validez l’état w32time (w32tm /query /status), le fuseau (tzutil /g) et l’absence de GPO bloquante.
• Hyper‑V : désactivez l’intégration Time Synchronization sur les DC (propriétés de la VM), sauf justification. VMware : décochez « Synchronize guest time with host ».
• Conformité : documentez le changement dans votre CMDB et joignez le gpresult.html en pièce de preuve.

Questions fréquentes (FAQ)

Q : Pourquoi l’option reste‑t‑elle grisée alors que j’ai mis DisableAutoDaylightTimeSet=0 ?
R : Parce qu’une GPO continue de poser la valeur à 1 à chaque actualisation. Supprimez la préférence Registre ou mettez la GPO à « Non configuré », puis gpupdate /force.

Q : L’option est grisée, mais nous voulons volontairement rester en UTC sans DST. Que faire ?
R : Laissez la GPO qui désactive l’ajustement et choisissez un fuseau sans DST (ex. UTC). Documentez votre décision pour l’audit.

Q : Après réactivation, l’heure reste décalée de quelques minutes.
R : Le paramètre DST ne corrige pas une dérive de synchronisation. Traitez la source de temps : vérifiez la topologie (PDC Emulator, peers NTP) et l’état w32time.

Q : Peut‑on pousser le fuseau horaire par GPO ?
R : Oui, via Préférences → Registre (clés TimeZoneKeyName, DisableAutoDaylightTimeSet) ou via un Startup Script (tzutil /s). Préférez toutefois le paramétrage par OU avec filtrage pour éviter les mauvaises affectations.

Exemple de déroulé opérationnel

1. Mettre en quarantaine la GPO suspecte (scope limité à un groupe de test).
2. Supprimer toute préférence DisableAutoDaylightTimeSet, repasser les paramètres à « Non configuré ».
3. Appliquer gpupdate /force, redémarrer si nécessaire.
4. Fixer le fuseau correct (Set-TimeZone ou tzutil).
5. Vérifier w32tm /query /status, valider dans l’Observateur d’événements qu’aucune erreur de temps n’est générée.

Résumé

La grisation de l’option « Heure d’été automatique » est quasi toujours le signe d’une GPO ou d’une valeur de Registre qui verrouille la fonction. En neutralisant ces paramètres (GPO à « Non configuré », DisableAutoDaylightTimeSet=0), en confirmant les droits (« Changer le fuseau horaire ») et l’intégrité w32time, puis en validant le fuseau sélectionné, vous restaurez une bascule DST fiable, conforme aux attentes de vos utilisateurs et aux exigences de sécurité d’Active Directory.