Нередко можно прочитать в интернете о таких ситуациях, что админ ушел по плохому, не оставил пароли. То есть такая практика, что пароли от админских учеток знает только админ достаточно широко распространена?  Вроде как собственники по этому поводу возмущаются - они же хозяева и хотят быть свободными.
Но с другой стороны и у админов есть их важная правда в том, что если кроме них кто-то знает пароль, то уже нет гарантий и ответственности. Как пример, админ вечером после рабочего дня ушел домой, собственник приводит третьих лиц, те что-то делают под админской учеткой, даже не то чтобы с целью подставить адммина, а что-то пытаются, на что, например, админ говорил, что нельзя так делать по тем-то и тем-то причинам, а собственник все-равно хочет и поэтому привел третьих лиц, которые обещали это сделать. В итоге третьи лица не сделали, только наломали дров, а админ утром приходит на работу, и собственник ему говорит - вот, у тебя сломалось, исправляй, делай, еще и штраф тебе, что сломалось у тебя и ты подвел все предприятие.
Ведь у других профессий есть такие "гарантийные пломбы", если главный энергетик имеет доступ к оборудованию, которое под замком, то он ставит пломбу, и в случае ее нарушения уже не отвечает, а нарушивший пломбу.
Каким образом аналогично реализовать с админскими учетками? Хранить дубль пароля у собственника, но в опломбированном ящике, конверте и т.д.? Чтобы в случае их повреждения ответственность и гарантийные обязательства переходили на нарушившего пломбу? Может это в электронном виде можно организовать? Например, почтовый ящик, который при входе в него рассылает смс о факте входа и источнике входа или еще что-то более умное?
Как соблюсти баланс между правом собственника и гарантийными обязательствами админа? Ведь на той-же бытовой технике стоит гарантийная пломба - нарушил, теряешь гарантию, а как админа обезопасить от шаловливых ручек собственников и третьих лиц, которых они могут привлечь для помощи своим шаловлимым рукам.

Правильнее так - должен быть отдельный пользователь, единственным полномочием которого является возможность смены пароля администратора. И пароль этого пользователя должен находиться в опечатанном конверте в сейфе главбуха.

Учетка админа должна хранится в конвертике в сейфе. Админы обязаны работать под персонифицированными учетками. Учетка админа не должна иметь дефаултный логин.

Это элементарные правила. Как зубы почистить.

А если, не дай бог, на админа кирпич упадет с крыши?

Все админские пароли на почте руководства в архиве  с некислым паролем. Пароль от архива есть в запечатанном конверте у собственника, второй у админа. При регламентом изменении паролей руководителю(ям) на почту приходит обновленный архив.

Обязательно вести документацию.