В доменном окружении Active Directory служба синхронизации времени не менее важна, чем служба разрешения доменных имен DNS.
Пользователи домена проходят процедуру аутентификации на контроллерах домена посредством протокола Kerberos (если быть точнее, его пятой версии). В свою очередь Kerberos использует так называемые сеансовые билеты, неотъемлемой частью которых является штамп текущего времени системы. И если разница во времени сервера, обслуживающего запрашиваемый ресурс, и компьютера, с которого пользователь запрашивает доступ, будет больше 5 минут (значение по умолчанию), в доступе будет отказано.
Продолжая мысль, если системное время компьютеров пользователей будет отличаться от времени на контроллере домена, пользователи не смогут успешно пройти процедуру аутентификации, а значит не смогут получить доступ к ресурсам домена.
Максим Ефремов опубликовал статью, подробно описывающую механизм синхронизации времени в ОС Windows Vista и Windows Server 2008, а также наиболее распространенные проблемы синхронизации времени в домене Active Directory.
От себя лишь добавлю описание механизма синхронизации системного времени в лесу Active Directory.
Итак, компьютер, являющийся членом домена, запрашивает значение системного времени у контроллера домена, который его авторизовал (DC, с которым компьютер установил доверенный канал). Контроллер домена, не являющийся хозяином FSMO-роли эмулятора PDC (PDC Emulator), в свою очередь запрашивает значение системного времени у контроллера домена, выполняющего роль эмулятора PDC в данном домене.
Если искомый домен является дочерним, контроллер домена, выполняющий роль эмулятора PDC, пытается синхронизировать время с одним из контроллеров родительского домена. Контроллеры родительского домена в свою очередь пытаюсь получить значение времени у эмулятора PDC родительского домена.
Если родительский домен не является корневым доменом леса Active Directory, эмулятор PDC родительского домена пытается связаться с контроллерами корневого домена леса. Те в свою очередь синхронизируют системное время с контроллером, являющимся эмулятором PDC корневого домена леса.
И, наконец, контроллер, являющийся хозяином FSMO-роли эмулятора PDC, выполняет синхронизацию времени с внешним NTP-сервером (Network Time Protocol).
Более подробное описание механизма синхронизации времени ОС Windows Вы можете найти в статье How Windows Time Service Works.