> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/rdm/fr/user-group-based-access-control/scenarios/advanced-security.md).

# Sécurité avancée

{% hint style="info" %}
Cette fonctionnalité est uniquement disponible lors de l'utilisation d'un [espace de travail avancé](https://docs.devolutions.net/fr/rdm/workspaces/workspace-types/native-workspaces/).
{% endhint %}

{% hint style="info" %}
Le scénario suivant est conçu pour les grandes entreprises. Pour un scénario mieux adapté aux petites entreprises, veuillez consulter notre scénario de [Sécurité simplifiée](https://docs.devolutions.net/fr/rdm/user-groups-based-access-control/scenarios/simplified-security/).
{% endhint %}

Bien que cet exemple convienne aux grandes entreprises, gardez à l'esprit que tout privilège ne doit être accordé que si nécessaire. Soyez prudent lorsque vous accordez des autorisations à un utilisateur ou à un groupe d'utilisateurs. Notre entreprise fictive, Windjammer, dispose de trois groupes d'utilisateurs : HelpDesk, ServiceDesk et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.

La structure arborescente suivante représente les entrées auxquelles les utilisateurs ont accès une fois toutes les autorisations définies :

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6129.png" alt=""><figcaption></figcaption></figure>

#### Configuration des utilisateurs

Voici un exemple de configuration d'utilisateur. Pour créer des utilisateurs, accédez à ***Administration*** – ***Utilisateurs*** – ***Ajouter un utilisateur***.

Ici, nous sélectionnons le type d'utilisateur pour lui accorder les droits les plus élémentaires (***Ajouter***, ***Modifier*** et ***Supprimer***).

Les utilisateurs ***ServiceDesk*** sont des ***Utilisateurs restreints***. Ils disposent des droits ***Ajouter*** et ***Modifier***. Cependant, ils ne peuvent pas ajouter d'entrées dans le dossier du coffre.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6126.png" alt=""><figcaption></figcaption></figure>

Les utilisateurs ***HelpDesk*** sont également des ***Utilisateurs restreints***. Ils disposent uniquement du droit ***Ajouter***. Cependant, ils ne peuvent pas ajouter d'entrées dans le dossier du coffre.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6127.png" alt=""><figcaption></figcaption></figure>

Les ***Consultants*** sont des ***Utilisateurs en lecture seule*** et ne peuvent qu'afficher un sous-ensemble d'entrées. Ils ne peuvent rien ajouter ni modifier.

#### Configuration des groupes d'utilisateurs

Maintenant que les utilisateurs sont créés, nous allons ajouter les groupes d'utilisateurs auxquels nous accorderons les autorisations ultérieurement. Nous devons créer les groupes d'utilisateurs et affecter les utilisateurs respectifs à chaque groupe. Il n'est pas nécessaire d'accorder des privilèges à ces groupes d'utilisateurs, car ils sont principalement des conteneurs vides servant à regrouper plusieurs utilisateurs. Cela permet de contrôler plusieurs utilisateurs à la fois au lieu d'accorder des autorisations à chaque utilisateur individuellement.

* ServiceDesk
* HelpDesk
* Consultants

Pour ajouter un groupe d'utilisateurs, cliquez sur le bouton ***Ajouter un groupe d'utilisateurs***, saisissez un nom pour le groupe d'utilisateurs et cliquez sur ***OK***.

Pour affecter des utilisateurs à un groupe d'utilisateurs, sélectionnez un groupe d'utilisateurs et cliquez sur le bouton ***Assigner des groupes d'utilisateurs***. Utilisez les cases à cocher ***Est membre*** pour ajouter des utilisateurs au groupe d'utilisateurs.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6088.png" alt=""><figcaption></figcaption></figure>

#### Configuration des entrées

Maintenant, tout est prêt pour accorder ou refuser l'accès aux groupes d'utilisateurs.

* Toutes les autorisations du dossier du coffre sont définies sur ***Jamais***. Par héritage, cela refuse l'accès par défaut aux éléments enfants pour tous les utilisateurs.
* Le ServiceDesk a la permission d'afficher et d'ouvrir toutes les entrées, mais ne peut modifier que les entrées dans les groupes/dossiers des clients.
* Le HelpDesk a la permission d'afficher et d'ouvrir les entrées dans les groupes/dossiers des clients uniquement et ne peut pas les modifier.
* Les Consultants ont la permission d'afficher et d'ouvrir les entrées dans le dossier Montreal uniquement, mais ne peuvent pas le modifier ni modifier ses éléments enfants.

**Paramètres du coffre** Comme mentionné ci-dessus, TOUTES les autorisations du dossier de paramètres du coffre sont définies sur ***Jamais***. Cela refuse l'accès par défaut aux autres utilisateurs.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6089.png" alt=""><figcaption></figcaption></figure>

**Windjammer, Downhill Pro et Telemark, les groupes/dossiers au niveau du coffre** La permission d'afficher le dossier Windjammer est définie pour le ServiceDesk uniquement, car nous souhaitons qu'il puisse utiliser les entrées enfants. Nous ne voulons pas que le ServiceDesk puisse ajouter, modifier ou supprimer quoi que ce soit. Nous laissons les autorisations ***Ajouter***, ***Modifier*** et ***Supprimer*** sur ***Hérité*** afin que seuls les administrateurs puissent effectuer ces actions sur le dossier Windjammer et ses éléments enfants.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6131.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; ServiceDesk.
* ***Ajouter : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut ajouter des entrées.
* ***Modifier : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut modifier des entrées.
* ***Supprimer : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.
* ***Connexion (Exécuter) : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent se connecter (exécuter).

Pour Downhill Pro, nous accordons des autorisations au ServiceDesk et au HelpDesk.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6091.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; HelpDesk, ServiceDesk.
* ***Ajouter : Personnalisé*** ; ServiceDesk.
* ***Modifier : Personnalisé*** ; ServiceDesk.
* ***Supprimer : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.

Nous avons déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Les utilisateurs ServiceDesk et HelpDesk peuvent afficher et utiliser toutes les entrées dans le dossier Downhill Pro, y compris les entrées d'identifiants, mais ils ne verront jamais les mots de passe, car les utilisateurs ServiceDesk et HelpDesk n'ont pas le privilège d'afficher les mots de passe.

Ensuite, pour le dossier Telemark, nous accordons des autorisations au ServiceDesk, au HelpDesk et aux Consultants. C'est là que les choses se compliquent. Si nous voulons que les Consultants puissent afficher uniquement le dossier Montreal, qui est un élément enfant de Telemark, nous devons accorder aux Consultants la permission d'afficher le dossier parent, et donc l'intégralité du contenu de Telemark. Ensuite, nous accorderons des autorisations sur les éléments enfants uniquement au groupe d'utilisateurs qui doit y avoir accès. Cette dernière étape refusera la permission d'affichage aux Consultants pour les éléments enfants.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6128.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; Consultants, HelpDesk, ServiceDesk.
* ***Ajouter : Personnalisé*** ; ServiceDesk.
* ***Modifier : Personnalisé*** ; ServiceDesk.
* ***Supprimer : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seul l'administrateur peut déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

**Éléments enfants de Telemark** Puisque nous voulons que les utilisateurs puissent utiliser les entrées d'identifiants, nous accordons au ServiceDesk et au HelpDesk la permission d'afficher le dossier Credentials. Ainsi, le ServiceDesk et le HelpDesk peuvent utiliser les entrées du dossier sans révéler les mots de passe. En spécifiant que seuls le HelpDesk et le ServiceDesk disposent de la permission ***Afficher***, nous refusons l'accès en affichage à tout groupe d'utilisateurs ou utilisateur ne figurant pas dans la liste des autorisations.

Les autorisations ***Ajouter*** et ***Modifier*** sont définies sur ***Jamais*** et l'autorisation ***Supprimer*** peut être laissée sur ***Hérité*** puisqu'elle hérite des paramètres ***Jamais*** du coffre. Seuls les administrateurs peuvent effectuer ces actions dans les groupes/dossiers contenant des identifiants.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6132.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; HelpDesk, ServiceDesk.
* ***Ajouter : Jamais*** ; Seuls les administrateurs peuvent ajouter des entrées d'identifiants.
* ***Modifier : Jamais*** ; Seuls les administrateurs peuvent modifier des entrées.
* ***Supprimer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.
* ***Connexion (Exécuter) : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent se connecter (exécuter).

Nous voulons que le ServiceDesk puisse utiliser l'entrée d'identifiants ***Domain admin***, mais pas le HelpDesk. Pour cela, nous devons accorder la permission ***Afficher*** au ServiceDesk. Le ServiceDesk peut toujours utiliser l'entrée d'identifiants, mais ne verra jamais le mot de passe.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6133.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; ServiceDesk.
* ***Ajouter : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent ajouter des entrées d'identifiants.
* ***Modifier : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent modifier des entrées d'identifiants.
* ***Supprimer : Hérité*** ; Jamais hérité de Telemark\Credentials. Seuls les administrateurs peuvent supprimer des entrées d'identifiants.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.
* ***Connexion (Exécuter) : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent se connecter (exécuter).

La dernière étape pour les éléments enfants de Telemark consiste à définir la permission ***Afficher*** pour le ServiceDesk et le HelpDesk sur le dossier Boston et à laisser toutes les autres autorisations de ce dossier sur ***Hérité***. Cela empêche les Consultants d'afficher le dossier Boston. Désormais, les Consultants peuvent afficher et ouvrir des entrées uniquement dans le dossier Montreal.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6134.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; HelpDesk, ServiceDesk.
* ***Ajouter : Hérité*** ; ServiceDesk hérité de Telemark.
* ***Modifier : Hérité*** ; ServiceDesk hérité de Telemark.
* ***Supprimer : Hérité*** ; Jamais hérité du coffre.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

  <div data-gb-custom-block data-tag="hint" data-style="warning" class="hint hint-warning"><p>Chaque fois qu'un nouveau dossier est ajouté en tant qu'enfant du dossier Telemark, la permission <em><strong>Afficher</strong></em> doit être définie pour le ServiceDesk et/ou le HelpDesk afin de masquer le nouveau dossier et son contenu aux Consultants.</p></div>

Il n'est pas nécessaire de définir des autorisations sur le dossier Montreal, car elles héritent toutes des valeurs des dossiers parents.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6135.png" alt=""><figcaption></figcaption></figure>

#### En conclusion

Les autorisations sont maintenant correctement définies. Notez que chaque entrée ajoutée au niveau du coffre hérite également des paramètres du coffre. Cela signifie qu'elles ne seraient accessibles qu'aux administrateurs, à moins que leurs autorisations n'aient été modifiées. Cela peut être confirmé en regardant la capture d'écran ci-dessous, dans laquelle l'entrée ***Daily routine*** est disponible pour tous (ses autorisations ont été modifiées pour Tout le monde). Voici ce que chaque utilisateur devrait voir dans l'arborescence :

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6099.png" alt=""><figcaption></figcaption></figure>

Vous pouvez personnaliser davantage les autorisations en utilisant la section ***Paramètres de sécurité*** lors de la modification des entrées. Comme toujours, une grande prudence doit être exercée lors de l'octroi d'autorisations.

![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin2258.png)


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.devolutions.net/rdm/fr/user-group-based-access-control/scenarios/advanced-security.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.