> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/rdm/fr/user-group-based-access-control/legacy-information/small-to-medium-enterprise.md). # Petites et moyennes entreprises Cet article présente un exemple de structure qui devrait convenir aux petites et moyennes entreprises. Dans ce scénario, toutes les options de la section ***Privilèges*** des propriétés de l'utilisateur resteront désactivées. Bien que cet exemple puisse convenir à de nombreuses entreprises, gardez à l'esprit que tout privilège ne doit être accordé que si nécessaire, conformément au principe du moindre privilège (PoLP). Soyez extrêmement prudent lorsque vous accordez des autorisations à un utilisateur ou à un groupe d'utilisateurs. {% hint style="info" %} Cette fonctionnalité n'est disponible qu'avec un [espace de travail avancé](https://docs.devolutions.net/fr/rdm/workspaces/workspace-types/native-workspaces/). {% endhint %} Notre entreprise fictive Windjammer dispose d'un service HelpDesk (en bleu) et d'un département ServiceDesk, d'un administrateur et d'un MontrealConsultant. On peut également voir deux clients : Downhill Pro et Telemark (en rouge). Voici une vue de la structure arborescente de l'espace de travail : ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6043.png) ### Configuration des utilisateurs Voici un exemple de configuration des utilisateurs : L'administrateur : * Lors de la création de l'utilisateur, sélectionnez ***Administrateur*** dans le menu déroulant pour lui donner accès à tout. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6077.png) Le ServiceDesk : * ***Ajouter*** * ***Modifier*** ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6137.png) Le HelpDesk : * ***Ajouter*** ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6136.png) Le MontrealConsultant dispose d'un accès en lecture seule. Il ne peut voir aucun mot de passe ni aucun détail d'entrée. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6080.png) ### Configuration des groupes d'utilisateurs Maintenant que les utilisateurs sont créés, nous allons ajouter les groupes d'utilisateurs auxquels nous accorderons les autorisations ultérieurement. Nous avons simplement besoin des groupes d'utilisateurs pour y affecter des utilisateurs. Il n'est pas nécessaire de leur accorder des privilèges. * ServiceDesk * HelpDesk * MontrealConsultant ### Configuration des entrées Tout est maintenant prêt pour accorder ou refuser l'accès aux groupes d'utilisateurs. * Le ServiceDesk aura la permission d'afficher et d'ouvrir toutes les entrées, mais ne pourra modifier que les entrées dans les groupes/dossiers clients. * Le HelpDesk aura la permission d'afficher et d'ouvrir les entrées dans les groupes/dossiers clients uniquement et ne pourra pas les modifier. * Le MontrealConsultant aura la permission d'afficher et d'ouvrir les entrées dans le groupe/dossier Montreal uniquement et ne pourra ni le modifier ni modifier ses éléments enfants. Nous commencerons par les groupes/dossiers de niveau racine : Downhill Pro, Telemark et Windjammer. Pour Downhill Pro, nous accorderons des autorisations au ServiceDesk et au HelpDesk. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6072.png) * ***Afficher*** : HelpDesk, ServiceDesk * ***Ajouter*** : ServiceDesk * ***Modifier*** : ServiceDesk * ***Supprimer*** : Puisqu'aucun utilisateur n'a le droit de suppression, nous pouvons laisser cette autorisation à ***Hérité***. Nous avons déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Un utilisateur du ServiceDesk peut afficher et ouvrir toutes les entrées du dossier Downhill Pro, y compris l'entrée d'informations d'identification, mais ne pourra jamais voir de mot de passe. Ensuite, pour le dossier Telemark, nous accorderons des autorisations au ServiceDesk, au HelpDesk et au MontrealConsultant. C'est là que les choses se compliquent. Si nous voulons que le MontrealConsultant puisse afficher uniquement le dossier Montreal qui est un élément enfant de Telemark, nous devons accorder au consultant la permission d'afficher l'intégralité du contenu de Telemark. Ensuite, nous accorderons des autorisations sur les éléments enfants uniquement au groupe d'utilisateurs qui devrait avoir accès à ces éléments. Cette dernière étape refusera la permission d'affichage pour le consultant sur les éléments enfants. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6075.png) * ***Afficher*** : HelpDesk, MontrealConsultant, ServiceDesk * ***Ajouter*** : ServiceDesk * ***Modifier*** : ServiceDesk * ***Supprimer*** : Hérité Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'informations d'identification, nous accorderons au ServiceDesk et au HelpDesk la permission d'afficher le dossier Credentials. Ils pourront ainsi utiliser les entrées sans pouvoir voir les mots de passe. Les autorisations ***Ajouter*** et ***Modifier*** peuvent être laissées à ***Hérité*** puisque le ServiceDesk est le seul groupe d'utilisateurs à qui ces autorisations ont été accordées dans le dossier parent. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6049.png) * ***Afficher*** : HelpDesk, ServiceDesk * ***Ajouter*** : Hérité * ***Modifier*** : Hérité * ***Supprimer*** : Hérité Nous voulons que le ServiceDesk puisse également utiliser l'entrée d'informations d'identification de l'administrateur de domaine, mais pas le HelpDesk. Pour ce faire, nous devons accorder la permission ***Afficher*** au ServiceDesk uniquement et changer les autorisations ***Ajouter*** et ***Modifier*** à ***Jamais***. Le ServiceDesk pourra toujours modifier l'entrée d'informations d'identification, mais ne verra jamais le mot de passe. Si vous préférez, vous pouvez définir la permission ***Modifier*** pour un utilisateur ou un groupe d'utilisateurs Administrateur afin de la refuser au ServiceDesk. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6050.png) * ***Afficher*** : ServiceDesk * ***Ajouter*** : Hérité (ServiceDesk) * ***Modifier*** : Hérité ou utilisateur/groupe d'utilisateurs Administrateur * ***Supprimer*** : Hérité La dernière étape pour les éléments enfants de Telemark consiste à définir la permission ***Afficher*** pour le ServiceDesk et le HelpDesk sur le dossier Boston et à laisser toutes les autres autorisations à ***Hérité***. Désormais, le MontrealConsultant pourra afficher et ouvrir des entrées uniquement dans le dossier Montreal. Chaque fois qu'un nouveau dossier est ajouté, la permission ***Afficher*** doit être définie pour le ServiceDesk et le HelpDesk afin de masquer le nouveau dossier et son contenu au consultant. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6073.png) * ***Afficher*** : HelpDesk, ServiceDesk * ***Ajouter*** : Hérité (ServiceDesk) * ***Modifier*** : Hérité (ServiceDesk) * ***Supprimer*** : Hérité Il n'est pas nécessaire de définir des autorisations sur le dossier Montreal, car elles sont héritées des dossiers parents. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6074.png) Enfin, la permission d'afficher le dossier Windjammer sera définie pour le ServiceDesk uniquement, car nous voulons qu'il puisse utiliser ses entrées enfants. Nous ne voulons pas qu'il ajoute ou modifie quoi que ce soit, donc nous définirons les autorisations ***Ajouter*** et ***Modifier*** pour l'utilisateur/groupe d'utilisateurs Administrateur. ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6053.png) ### En conclusion Les autorisations sont maintenant correctement définies. Notez que chaque entrée ajoutée au-dessus des groupes/dossiers de niveau racine n'aura aucune sécurité par défaut. Cela signifie qu'elles seraient disponibles pour tout le monde, même pour le consultant. Cela peut être confirmé en regardant la capture d'écran ci-dessous dans laquelle l'entrée Daily routine est disponible pour tous. Voici ce que chaque utilisateur devrait voir dans l'arborescence : ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6054.png) Vous pouvez aller plus loin dans l'octroi des autorisations en utilisant les onglets ***Sécurité*** et ***Pièces jointes*** de la section des autorisations. Comme toujours, une grande prudence doit être exercée lors de l'octroi des autorisations et les utilisateurs doivent avoir des privilèges très restrictifs. --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.devolutions.net/rdm/fr/user-group-based-access-control/legacy-information/small-to-medium-enterprise.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.