Billet ouvert 
+373 79 600002 
Telegram Live Chat 
F.A.Q 
Français
English 
Русский 
Română 
Deutsch 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Sécurité 
WindowsComment configurer le groupe d’utilisateurs du Bureau à distance Windows
Windows Remote Desktop est l’une des fonctionnalités intégrées les plus puissantes que Microsoft ait jamais livrées. Elle permet aux administrateurs, aux équipes de support et aux utilisateurs autorisés de se connecter à une machine et de la contrôler entièrement depuis n’importe où dans le monde — sans être physiquement devant elle. Mais avec ce pouvoir vient une responsabilité critique : contrôler qui obtient l’accès distant et ce qu’ils peuvent faire une fois connectés.
Par défaut, Windows limite l’accès distant aux seuls Administrateurs. C’est un paramètre par défaut sensé, mais il crée un problème concret : vous ne souhaitez pas toujours distribuer des identifiants d’administrateur simplement pour permettre à quelqu’un de se connecter à distance. C’est exactement là qu’intervient le Groupe Utilisateurs du Bureau à distance.
Ce guide vous explique tout ce que vous devez savoir — de la compréhension du rôle du groupe à l’activation de RDP, en passant par l’ajout et la suppression d’utilisateurs, et la vérification des accès — afin que vous puissiez gérer la connectivité distante de manière sécurisée et efficace.
Qu’est-ce que le Groupe Utilisateurs du Bureau à distance ?
Le Groupe Utilisateurs du Bureau à distance est un groupe de sécurité local intégré à Windows. Son unique objectif est d’accorder aux comptes non-administrateurs le droit d’établir une session Remote Desktop Protocol (RDP) avec une machine.
Voici pourquoi cela est important en pratique :
- Sans ce groupe, seuls les membres du groupe Administrateurs local peuvent se connecter via RDP.
- Avec ce groupe, vous pouvez accorder à des utilisateurs standard spécifiques un accès distant sans élever leurs privilèges au niveau d’administrateur complet.
- Cela suit le principe du moindre privilège — un concept fondamental en sécurité des systèmes qui stipule que les utilisateurs ne doivent disposer que des permissions dont ils ont réellement besoin.
Que vous gériez un seul poste de travail ou un parc de serveurs, comprendre et configurer correctement ce groupe est une partie incontournable d’une administration système responsable.
> Vous gérez un serveur distant ? Si vous administrez un environnement VPS Hosting, la configuration correcte du groupe d’utilisateurs RDP est particulièrement critique puisque votre serveur est exposé à l’internet public.
Prérequis
Avant de commencer, assurez-vous d’avoir les éléments suivants en place :
- Un accès Administrateur local sur la machine que vous souhaitez configurer (vous ne pouvez pas modifier les groupes locaux sans cela).
- Les noms d’utilisateur exacts des comptes que vous souhaitez ajouter au Groupe Utilisateurs du Bureau à distance.
- Le Bureau à distance activé sur la machine cible (couvert à l’Étape 1 ci-dessous).
- Une connectivité réseau entre la machine cliente et l’hôte cible, avec le port TCP 3389 ouvert dans le pare-feu.
Étape 1 : Activer le Bureau à distance sur la machine cible
Avant de pouvoir gérer qui se connecte via RDP, vous devez confirmer que le Bureau à distance est bien activé. Voici comment procéder :
Ouvrir les Propriétés système
- Faites un clic droit sur Ce PC (ou Poste de travail) sur le bureau ou dans l’Explorateur de fichiers.
- Sélectionnez Propriétés.
Accéder aux paramètres distants
- Dans le panneau de gauche, cliquez sur Paramètres d’accès à distance. Cela ouvre la boîte de dialogue Propriétés système directement sur l’onglet Accès à distance.
Activer le Bureau à distance
- Dans la section Bureau à distance, sélectionnez Autoriser les connexions à distance à cet ordinateur.
- Une invite peut apparaître vous avertissant des règles de pare-feu — cliquez sur OK pour autoriser Windows à configurer automatiquement l’exception de pare-feu pour RDP.
Authentification au niveau du réseau (NLA)
- Vous verrez une case à cocher intitulée Autoriser les connexions uniquement depuis les ordinateurs qui exécutent le Bureau à distance avec l’authentification au niveau du réseau (recommandé).
- Laissez cette case cochée dans la plupart des cas. NLA exige que les utilisateurs s’authentifient avant qu’une session RDP complète soit établie, ce qui réduit considérablement la surface d’attaque contre les attaques par force brute et les dénis de service.
- Décochez-la uniquement si vous devez prendre en charge des clients anciens qui ne supportent pas NLA (Windows XP, anciens clients légers, etc.). Il s’agit d’un compromis en matière de sécurité qui doit être documenté.
Appliquer les modifications
- Cliquez sur Appliquer, puis sur OK.
Le Bureau à distance est maintenant actif sur cette machine.
Étape 2 : Ajouter des utilisateurs au Groupe Utilisateurs du Bureau à distance
Avec RDP activé, vous pouvez maintenant renseigner le Groupe Utilisateurs du Bureau à distance avec les comptes qui nécessitent un accès.
Méthode A : Utilisation de la Gestion de l’ordinateur (recommandée pour la plupart des administrateurs)
Ouvrir la Gestion de l’ordinateur :
- Faites un clic droit sur le bouton Démarrer et sélectionnez Gestion de l’ordinateur.
- Vous pouvez également appuyer sur Windows + R, taper
compmgmt.msc, et appuyer sur Entrée.
Accéder aux Utilisateurs et groupes locaux :
- Dans le volet de gauche, développez Utilisateurs et groupes locaux.
- Cliquez sur Groupes.
Ouvrir le Groupe Utilisateurs du Bureau à distance :
- Dans le volet central, localisez et double-cliquez sur Utilisateurs du Bureau à distance. Cela ouvre la fenêtre Propriétés du groupe.
Ajouter des utilisateurs :
- Cliquez sur le bouton Ajouter.
- Dans la boîte de dialogue Sélectionner des utilisateurs, saisissez le(s) nom(s) d’utilisateur des comptes que vous souhaitez ajouter. Pour plusieurs utilisateurs, séparez les noms par un point-virgule (
;). - Cliquez sur Vérifier les noms pour valider les entrées par rapport à la base de données des utilisateurs locaux (ou Active Directory si joint à un domaine).
- Cliquez sur OK pour confirmer.
Enregistrer et fermer :
- Cliquez à nouveau sur OK pour fermer la fenêtre Propriétés des Utilisateurs du Bureau à distance.
Les utilisateurs sélectionnés ont maintenant accès RDP à cette machine.
Méthode B : Utilisation de PowerShell (plus rapide pour les opérations en masse)
Si vous gérez plusieurs machines ou souhaitez automatiser ce processus, PowerShell est bien plus efficace.
Ajouter un seul utilisateur :
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "username"Ajouter un utilisateur de domaine :
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "DOMAINusername"Afficher les membres actuels du groupe :
Get-LocalGroupMember -Group "Remote Desktop Users"Supprimer un utilisateur :
Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"Les commandes PowerShell peuvent être scriptées et déployées via la Stratégie de groupe ou des outils de gestion à distance, ce qui les rend idéales pour les environnements d’entreprise ou lors de la gestion de Serveurs Dédiés à grande échelle.
Méthode C : Utilisation du raccourci Propriétés système
Il existe un chemin plus rapide directement depuis la boîte de dialogue des paramètres d’accès à distance :
- Retournez dans Propriétés système → onglet Accès à distance.
- Cliquez sur le bouton Sélectionner des utilisateurs… en bas.
- Cela ouvre une version simplifiée de la même boîte de dialogue, vous permettant d’ajouter ou de supprimer des utilisateurs du Groupe Utilisateurs du Bureau à distance sans naviguer dans la Gestion de l’ordinateur.
Étape 3 : Vérifier que l’accès utilisateur fonctionne
Une configuration sans vérification est incomplète. Après avoir ajouté des utilisateurs au groupe, confirmez que l’accès fonctionne réellement comme prévu.
Tester la connexion
- Sur la machine cliente, appuyez sur Windows + R, tapez
mstsc, et appuyez sur Entrée pour lancer la Connexion Bureau à distance. - Saisissez l’adresse IP ou le nom d’hôte de la machine cible.
- Cliquez sur Connexion.
- Lorsque vous y êtes invité, saisissez les identifiants de l’utilisateur nouvellement ajouté (pas un compte administrateur).
Ce à quoi s’attendre
- Si tout est correctement configuré, l’utilisateur s’authentifiera et accédera à une session de bureau à distance.
- Si la connexion est refusée, vérifiez :
- Que l’utilisateur est bien dans le Groupe Utilisateurs du Bureau à distance.
- Que le Bureau à distance est activé sur la machine cible.
- Que le Pare-feu Windows autorise les connexions entrantes sur le port TCP 3389.
- Qu’aucune Stratégie de groupe ne remplace les paramètres RDP locaux (courant dans les environnements de domaine).
Vérifier la règle du Pare-feu Windows
Ouvrez le Pare-feu Windows Defender avec sécurité avancée et confirmez que la règle Bureau à distance – Mode utilisateur (TCP-In) est activée et définie sur Autoriser la connexion.
Étape 4 : Gérer et supprimer des utilisateurs
La gestion des accès est une responsabilité continue, pas une tâche ponctuelle. Les utilisateurs quittent les organisations, les rôles changent, et un accès qui était approprié il y a six mois peut représenter un risque de sécurité aujourd’hui.
Supprimer un utilisateur via la Gestion de l’ordinateur
- Ouvrez la Gestion de l’ordinateur (
compmgmt.msc). - Accédez à Utilisateurs et groupes locaux → Groupes.
- Double-cliquez sur Utilisateurs du Bureau à distance.
- Sélectionnez le compte utilisateur que vous souhaitez supprimer.
- Cliquez sur Supprimer.
- Cliquez sur OK pour enregistrer les modifications.
Supprimer un utilisateur via PowerShell
Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "username"Bonnes pratiques pour la gestion continue des accès
| Pratique | Pourquoi c’est important |
|---|---|
| Auditer l’appartenance au groupe trimestriellement | Détecte les comptes obsolètes et les anciens employés |
| Utiliser des groupes Active Directory (si joint à un domaine) | Centralise la gestion sur plusieurs machines |
| Activer la journalisation RDP via l’Observateur d’événements | Fournit une piste d’audit de qui s’est connecté et quand |
| Appliquer des politiques de mots de passe forts | Réduit le risque d’attaques par force brute sur RDP |
| Envisager MFA pour RDP | Ajoute une deuxième couche d’authentification critique |
| Restreindre RDP à des plages IP spécifiques via le pare-feu | Limite l’exposition aux réseaux connus et de confiance uniquement |
Considérations avancées
Stratégie de groupe et environnements de domaine
Dans un domaine Active Directory, les paramètres de groupe local peuvent être remplacés par des Objets de Stratégie de groupe (GPO). La stratégie concernée se trouve à :
Computer Configuration → Windows Settings → Security Settings →
Local Policies → User Rights Assignment → Allow log on through Remote Desktop ServicesSi les utilisateurs ne peuvent pas se connecter malgré leur appartenance au Groupe Utilisateurs du Bureau à distance local, vérifiez si un GPO restreint ou remplace ce droit au niveau du domaine.
RDP via une connexion sécurisée
Exposer le port 3389 directement à internet est un risque de sécurité bien connu. Les attaquants recherchent activement les ports RDP ouverts. Envisagez ces mesures de renforcement :
- Changer le port RDP par défaut de 3389 vers un port non standard.
- Utiliser un VPN pour tunneliser le trafic RDP plutôt que de l’exposer publiquement.
- Déployer une passerelle RDP pour gérer et authentifier les connexions avant qu’elles n’atteignent la machine cible.
- Activer des politiques de verrouillage de compte pour limiter les tentatives par force brute.
> Vous hébergez votre propre serveur ? Si vous exécutez Windows sur un VPS avec cPanel ou un Serveur Dédié géré, l’infrastructure d’AlexHost inclut une protection DDoS et un pare-feu au niveau réseau qui ajoute une première ligne de défense importante autour de vos points d’accès RDP.
Sécuriser davantage votre environnement serveur
La configuration du Bureau à distance n’est qu’une couche d’une posture de sécurité globale. Si vous exécutez des services critiques pour votre activité sur votre serveur, envisagez d’associer le renforcement de votre RDP avec :
- Un Certificat SSL valide pour tous les services web sur le même hôte.
- Un Enregistrement de domaine approprié et une configuration DNS afin que votre serveur soit accessible via un nom d’hôte de confiance plutôt qu’une IP brute.
- Un Hébergement de messagerie séparé de votre serveur principal pour réduire la surface d’attaque.
Résolution des problèmes RDP courants
| Problème | Cause probable | Solution |
|---|---|---|
| « Le Bureau à distance ne peut pas se connecter à l’ordinateur distant » | RDP non activé ou pare-feu bloquant le port 3389 | Activer RDP dans les Propriétés système ; vérifier les règles de pare-feu |
| « Vous n’avez pas l’autorisation de vous connecter » | Utilisateur absent du Groupe Utilisateurs du Bureau à distance | Ajouter l’utilisateur via la Gestion de l’ordinateur ou PowerShell |
| La connexion se coupe immédiatement après la connexion | Incompatibilité NLA ou problème de licence | Vérifier que les paramètres NLA correspondent sur le client et le serveur |
| « La session distante a été déconnectée » | Limite de sessions RDP atteinte | Vérifier les limites de sessions simultanées dans la Stratégie de groupe |
| Session distante lente ou saccadée | Bande passante ou paramètres d’affichage | Réduire la profondeur de couleur et désactiver les effets visuels dans les paramètres du client RDP |
Conclusion
La configuration du Groupe Utilisateurs du Bureau à distance Windows est une compétence fondamentale pour tout administrateur système. Réalisée correctement, elle vous donne un contrôle précis et granulaire sur qui peut accéder à une machine à distance — sans distribuer inutilement des identifiants d’administrateur.
Pour récapituler les étapes clés :
- Activer le Bureau à distance dans les Propriétés système et configurer NLA de manière appropriée.
- Ajouter des utilisateurs au Groupe Utilisateurs du Bureau à distance via la Gestion de l’ordinateur, PowerShell ou le raccourci des Propriétés système.
- Vérifier l’accès en testant une connexion avec le compte utilisateur nouvellement ajouté.
- Gérer l’accès de manière continue — supprimer les utilisateurs qui n’ont plus besoin d’accès et auditer régulièrement l’appartenance au groupe.
Le Bureau à distance est un outil indispensable pour la gestion à distance, le support informatique et l’administration des serveurs. Mais comme tout outil puissant, il nécessite une configuration soigneuse et une surveillance continue pour rester sécurisé.
Que vous gériez un seul poste de travail ou une infrastructure entière de serveurs VPS et de machines dédiées, ces principes s’appliquent universellement. Adoptez de bonnes habitudes dès maintenant, et votre configuration d’accès distant sera à la fois productive et sécurisée sur le long terme.