Funktionsweise und Einrichtung "persönlicher Tresor" und "globaler Tresor" in zentraler MS-SQL-Datenquelle

Hallo zusammen,
ich stehe gerade wie Ochs vorm Berg bei meinem RDM (Team/Business mit 3-jähriger Site-Lizenz bis 2025).
Wir benutzen das Tool nun bereits seit 2015 und sind bisher unternehmensweit die Schiene gefahren: Jedem Mitarbeitenden seine lokale Instanz bzw. eine zentrale DB mit einem administrativen User, der die Sessions verwaltet (um keinen Wildwuchs zu erzeugen).
Letztere Maßnahme klappte wunderbar, solange es pro Server einen speziellen administrativen Benutzer (root/Administrator) für alle gab.

Als dann Arbeiten nur noch mit persönlichen Benutzern möglich war, sind alle Mitarbeitenden hin gegangen, haben sich die zentrale Datenbank in die lokale RDM-Instanz exportiert und gut war.
Da konnten sie ihre eigenen Credentials lokal speichern und sich die Struktur zusammenschustern, wie sie es brauchten.
Jetzt ist allerdings auf Drängen hin dem Wunsch nachgegeben worden, das ganze wieder zu zentralisieren.
Und hier stehe ich nun mit meinem naiven Wunsch, einen persönlichen Tresor und einem globalen Tresor zu nutzen (denn nach wie vor gibt es vereinzelte Dienste, die einen einzelnen, nicht personalisierten Login-Benutzer erfodern).

Ich blicke es einfach nicht!
Ich habe für mein "Büro" mit gerade einmal 4 Personen nun eine MS-SQL-Datenbank bei unseren SQL-Admins beantragt und dem RDM als Datenquelle hinzugefügt.
An der DB sind "wir" mit unseren AD-Benutzern als DB-Owner eingetragen, dürfen also alles machen.

Nun habe ich in den Features gefunden, dass der persönliche Tresor bei komplexen Datenquellen immer zur Verfügung stünde. Ich kann ihn theoretisch in den Einstellungen der Datenquelle auch anzeigen lassen.
Nur wird er nicht angezeigt (da wahrscheinlich nicht vorhanden).

Generell erschließt sich mir das Prinzip Tresor / persönlicher Tresor noch nicht.
Wir haben parallel den Password Safe im Einsatz, in dem einzelne Einträge benutzer- oder gruppenweise berechtigt werden können (nein, wir haben leider die APIs für andere Anwendungen nicht lizensiert, sodass wir den Password Safe nicht - so es denn möglich wäre - direkt an den RDM knüpfen könnten). Das Passwort-Konzept des RDM scheint aber einem anderen Konzept zu folgen.

Langer Rede kurzer Sinn:
Ich brauche da mal einen Denkanstoß, wie ich den globalen / persönlichen Tresor einrichten und verwenden kann, besonders mit Blick darauf, dass die Kolleg:innen meine Passworte nicht einsehen können und (!!) bei ein und demselben Server die Credentials aus dem persönlichen Tresor eingetragen bekommen (schließlich macht es wenig Sinn, für ein und denselben Server verschiedene Sessions anzulegen, nur um die Benutzernamen anzupassen)?

Wünschenswert wäre es etwa so:

Tresor (am besten in der MS SQL-Datenbank):

• Eintrag: "Gemeinsamer Benutzer"
  • Benuzername: Alle
  • Passwort: Geheim

Mein persönlicher Tresor (am besten lokal oder entsprechend nur auf mich berechtigt in der MS SQL-Datenbank):

• Eintrag: "Mein Benutzer"
  • Benutzername: Ich
  • Passwort: "Noch vieeeel geheimer und nicht von den Kolleg:innen einsehbar"

Dein persönlicher Tresor (am besten lokal oder entsprechend nur auf dich berechtigt in der MS SQL-Datenbank):

• Eintrag: "Dein Benutzer"
  • Benutzername: Du
  • Passwort: "Nochmals vieeeel geheimer und nicht von mir und den Kolleg:innen einsehbar"

Sessions:

• Eintrag: "Server mit nur einem Admin"
  • Passwort => Tresor => "Gemeinsamer Benutzer"

• Eintrag: "Mein persönlicher Server"
  • Passwort => persönlicher Tresor => "Mein Benutzer

• Eintrag: "Unser Server mit personalisierten Admins"
  • Passwort (in meiner RDM-Instanz) => persönlicher Tresor => "Mein Benutzer
  • Passwort (in deiner RDM-Instanz) => persönlicher Tresor => "Dein Benutzer

Ich hoffe, ihr versteht mein Anliegen.

Vielen Dank und einen schönen Feierabend.

Patrick