> For the complete documentation index, see [llms.txt](https://docs.devolutions.net/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.devolutions.net/rdm/fr/user-group-based-access-control/scenarios/simplified-security.md).

# Sécurité simplifiée

{% hint style="info" %}
Cette fonctionnalité est uniquement disponible lors de l'utilisation d'un [espace de travail avancé](https://docs.devolutions.net/fr/rdm/workspaces/workspace-types/native-workspaces/).
{% endhint %}

{% hint style="warning" %}
Bien que le scénario suivant soit approprié pour les petites et moyennes entreprises, il n'est pas recommandé pour les grandes organisations. Pour un scénario mieux adapté aux grandes entreprises, veuillez consulter le scénario [Sécurité avancée](https://docs.devolutions.net/fr/rdm/user-groups-based-access-control/scenarios/advanced-security/).
{% endhint %}

Notre entreprise fictive, Windjammer, compte quatre groupes d'utilisateurs : HelpDesk, ServiceDesk, Administrations et Consultants. Il y a deux entreprises clientes : Downhill Pro et Telemark.

La structure arborescente suivante représente les entrées auxquelles les utilisateurs ont accès une fois toutes les autorisations configurées : ![](https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6055.png)

#### Configuration des utilisateurs

Voici un exemple de configuration d'utilisateur. Pour créer des utilisateurs, accédez à ***Administration – Utilisateurs – Ajouter un utilisateur***.

La sélection de droits suivante est disponible lors de la définition d'un utilisateur en tant qu'***Utilisateur restreint***.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6105.png" alt=""><figcaption></figcaption></figure>

***Administrateurs*** : les administrateurs disposent d'un accès bien plus étendu que les utilisateurs ordinaires. Lors de la création de ces utilisateurs, définissez le type d'utilisateur sur ***Administrateur*** pour leur accorder un accès complet. L'administrateur peut accéder à toutes les entrées, indépendamment des autorisations.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6057.png" alt=""><figcaption></figcaption></figure>

***Utilisateurs ordinaires (Utilisateur)*** : ces utilisateurs disposent de moins de droits que les administrateurs. Ils possèdent essentiellement tous les droits de base (à l'exception de ***Afficher le mot de passe***), mais sont soumis à toutes les autorisations refusées. Plus tard, nous refuserons ces droits en précisant quels utilisateurs peuvent réellement effectuer ces actions.

***Consultants*** : les consultants ne peuvent afficher qu'un sous-ensemble d'entrées ; nous les définirons en ***Lecture seule***. Ils ne peuvent pas ajouter, modifier ou altérer les informations de quelque façon que ce soit.

#### Configuration des groupes d'utilisateurs

Maintenant que les utilisateurs sont créés, nous allons ajouter les groupes d'utilisateurs auxquels nous accorderons ensuite les autorisations. Nous devons créer les groupes d'utilisateurs pour y affecter des utilisateurs. Il n'est pas nécessaire d'accorder des privilèges à ces groupes d'utilisateurs.

* ServiceDesk
* HelpDesk
* Consultants

  <figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6106.png" alt=""><figcaption></figcaption></figure>

#### Configuration des entrées

Maintenant, tout est prêt pour accorder ou refuser l'accès aux groupes d'utilisateurs.

* Le ServiceDesk aura l'autorisation d'afficher et d'ouvrir toutes les entrées, mais pourra uniquement modifier les entrées dans les groupes/dossiers clients.
* Le HelpDesk aura l'autorisation d'afficher et d'ouvrir les entrées dans les groupes/dossiers clients uniquement, sans pouvoir les modifier.
* Les Consultants auront l'autorisation d'afficher et d'ouvrir les entrées dans le dossier Montreal uniquement, sans pouvoir le modifier ni modifier ses éléments enfants.

Nous commencerons par les dossiers au niveau du coffre : Downhill Pro, Telemark et Windjammer.

L'autorisation d'afficher le dossier Windjammer sera définie pour le ServiceDesk uniquement, car nous souhaitons qu'il puisse utiliser ses entrées enfants. Nous ne voulons pas que le ServiceDesk ajoute ou modifie quoi que ce soit. Nous définirons les autorisations ***Ajouter***, ***Modifier*** et ***Supprimer*** sur ***Jamais***. Seul l'administrateur pourra ajouter ou modifier des entrées dans le dossier Windjammer.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6112.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; ServiceDesk.
* ***Ajouter : Jamais*** ; Seul l'administrateur peut ajouter des entrées.
* ***Modifier : Jamais*** ; Seul l'administrateur peut modifier des entrées.
* ***Supprimer : Jamais*** ; Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

Pour Downhill Pro, nous accorderons des autorisations au ServiceDesk et au HelpDesk.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6116.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; HelpDesk, ServiceDesk.
* ***Ajouter : Personnalisé*** ; ServiceDesk.
* ***Modifier : Personnalisé*** ; ServiceDesk.
* ***Supprimer : Jamais*** ; Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

Nous avons déjà un bon exemple de la flexibilité de la sécurité de Remote Desktop Manager. Un utilisateur du ServiceDesk peut afficher et utiliser toutes les entrées du dossier Downhill Pro, y compris les entrées d'identifiants, mais ne pourra jamais voir aucun mot de passe, car l'autorisation Afficher le mot de passe est refusée (depuis le dossier du coffre).

Ensuite, pour le dossier Telemark, nous accorderons des autorisations au ServiceDesk, au HelpDesk et aux Consultants. C'est là que les choses se complexifient. Si nous souhaitons que les Consultants puissent afficher uniquement le dossier Montreal, qui est un élément enfant de Telemark, nous devons accorder aux Consultants l'autorisation d'afficher l'intégralité du contenu de Telemark. Nous accorderons ensuite des autorisations sur les éléments enfants uniquement au groupe d'utilisateurs qui doit avoir accès à ces éléments. Cette dernière étape refusera l'autorisation d'affichage aux Consultants pour les éléments enfants.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6110.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; Consultants, HelpDesk, ServiceDesk.
* ***Ajouter : Personnalisé*** ; ServiceDesk.
* ***Modifier : Personnalisé*** ; ServiceDesk.
* ***Supprimer : Jamais*** ; Seul l'administrateur peut supprimer des entrées.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

Puisque nous souhaitons que les utilisateurs puissent utiliser les entrées d'identifiants, nous accorderons au ServiceDesk et au HelpDesk l'autorisation d'afficher le dossier Credentials. Ainsi, le ServiceDesk et le HelpDesk pourront utiliser les entrées du dossier sans révéler les mots de passe. Par conséquent, en précisant que seuls le HelpDesk et le ServiceDesk disposent de l'autorisation ***Afficher***, nous refusons l'accès en affichage à tout groupe d'utilisateurs ou utilisateur ne figurant pas dans la liste des autorisations.

Les autorisations ***Ajouter***, ***Modifier*** et ***Supprimer*** peuvent être laissées sur ***Hérité***, car elles héritent des paramètres du dossier parent Telemark. Le ServiceDesk est le seul groupe d'utilisateurs auquel les autorisations ***Ajouter*** et ***Modifier*** ont été accordées dans le dossier parent, et l'autorisation ***Supprimer*** hérite du paramètre Jamais.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6115.png" alt=""><figcaption></figcaption></figure>

* ***Afficher : Personnalisé*** ; HelpDesk, ServiceDesk.
* ***Ajouter : Hérité*** ; ServiceDesk hérité du dossier Telemark.
* ***Modifier : Hérité*** ; ServiceDesk hérité du dossier Telemark.
* ***Supprimer : Hérité*** ; Jamais hérité du dossier Telemark.
* ***Déplacer : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent déplacer des entrées.
* ***Afficher le mot de passe : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher le mot de passe.
* ***Afficher les informations sensibles : Hérité*** ; Jamais hérité du coffre. Seuls les administrateurs peuvent afficher les informations sensibles.

Nous souhaitons que le ServiceDesk puisse également utiliser l'entrée d'identifiants Domain Admin, mais pas le HelpDesk. Pour ce faire, nous devons accorder l'autorisation ***Afficher*** au ServiceDesk. Le ServiceDesk pourra toujours modifier l'entrée d'identifiants, mais ne verra jamais le mot de passe. L'autorisation de suppression est définie sur ***Jamais***.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6108.png" alt=""><figcaption></figcaption></figure>

La dernière étape pour les éléments enfants de Telemark consiste à définir l'autorisation ***Afficher*** pour le ServiceDesk et le HelpDesk sur le dossier Boston, et à laisser toutes les autres autorisations de ce dossier sur ***Hérité***. Cela refuse aux Consultants l'accès en affichage au dossier Boston. Désormais, les Consultants pourront afficher et ouvrir des entrées uniquement dans le dossier Montreal.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6109.png" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Chaque fois qu'un nouveau dossier est ajouté, l'autorisation ***Afficher*** doit être définie pour le ServiceDesk et le HelpDesk afin de masquer le nouveau dossier et son contenu aux Consultants.
{% endhint %}

Il n'est pas nécessaire de définir des autorisations sur le dossier Montreal, car elles sont héritées des dossiers parents.

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6120.png" alt=""><figcaption></figcaption></figure>

#### En conclusion

Les autorisations sont maintenant correctement configurées. Notez que toute entrée ajoutée au niveau du coffre n'aura aucune sécurité par défaut. Cela signifie qu'elle sera accessible à tous, y compris aux Consultants. Cela peut être confirmé en regardant la capture d'écran ci-dessous, dans laquelle l'entrée ***Daily routine*** est disponible pour tout le monde. Voici ce que chaque utilisateur devrait voir dans l'arborescence :

<figure><img src="https://cdnweb.devolutions.net/docs/docs_en_rdm_windows_RDMWin6065.png" alt=""><figcaption></figcaption></figure>

Vous pouvez personnaliser davantage vos autorisations en utilisant l'onglet ***Paramètres de sécurité*** lors de la modification des entrées, ou l'onglet ***Journaux*** pour ajouter davantage de traces des allées et venues. Comme toujours, une grande prudence doit être exercée lors de l'attribution des autorisations.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.devolutions.net/rdm/fr/user-group-based-access-control/scenarios/simplified-security.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.