Yo tenia la misma pregunta que tu al hacer una implementación de Active Directory en varios países con zonas horarias distintas.
Cosas que tienes que tener claras:
1) Todos los servidores NTP del mundo ofrecen la misma hora:
Las zonas horarias dependen no del servidor NTP si no de la configuración de la zona horaria.
Es decir si tienes dos equipos en un workgroup con el cliente NTP configurado a hora.roa.es, el servidor ofrecerá la misma hora a los dos, pero si uno de ellos tiene la zona horaria distinta se aplicará el +1, -1, etc.
2) En entornos de AD:
Los equipos añadidos al dominio, servidores o clientes sincronizan la hora con cualquier DC.
Los DC sincronizan la hora con el que tiene el rol FSMO de PDCe. Puedes ver los roles FSMO del dominio con el comando netdom query fsmo.
Solo el DC con el rol de PDCe puede sincronizar la hora con un servidor NTP externo. Puedes configurar lo con el comando w32tm, ya que por defecto sincronizará la hora con la BIOS del sistema.
En caso que tengas dominios hijo la sincronización de hora funciona de la misma forma pero:
El DC con el rol FSMO de PDCe de un dominio hijo sincronizará la hora con el DC con el rol FSMO de PDCe del dominio padre.
La conclusión es que en todo el bosque solo el DC con el rol de PDCe del dominio raíz puede sincronizar la hora por Internet.
Este funcionamiento es igual desde Windows Server 2000 y consigue que todos los equipos, DC, clientes, etc tengan la misma hora para que no se rompa el Kerberos.
Toda esta información y como funciona el comando w32tm la logré entender gracias al libro "WS2012LABS - Windows Server 2012" que compré por Internet en la editorial LULU. El capítulo 03.9 está dedicado al tema de la hora.
Espero haberte ayudado.