如果我永远不应该告诉管理员我的密码（因为它已经回答了引用的问题），那么即使在我在该公司工作的一开始，管理员也没有理由知道我的密码

此规则的主要原因之一是管理员不应访问您的机密数据，例如邮件等......因为一开始没有与帐户关联的数据，这不是问题。

他们为用户生成密码（不是第一次登录时更改的密码）

使用单点登录密码将要求输入普通密码，然后才能更改配置。因此，在访问配置之前需要输入密码。

无论如何，我怀疑大多数遗留系统允许管理员非常自由地重置密码。这是公认的做法吗？

这是公认的做法。不是旧系统，而是 Office 365 等较新系统还允许管理员在不通知用户的情况下重置用户密码。但是，任何此类重置都会记录在系统中，并且管理员将对任何问题负责。

另请注意，并非所有配置都可以在管理员级别更改。有些事情只能由用户执行。他们不是告诉每个用户执行一组步骤，而是提前完成。

共享密码的其他一些问题在这里不适用，例如

1. 重复使用密码无关紧要，因为密码不是您的。
2. 您的任何个人信息都与密码无关。

为了回答一些评论，

我怀疑“一开始没有与帐户关联的数据”这不是绝对正确的：我的邮箱中可能有一些电子邮件（有人可能已经将我的一些机密信息发送到我的电子邮件地址，因为邮箱已被激活在我第一次登录之前）

迭戈·帕斯科托

在配置之前，管理员不应将邮件 ID 共享给任何人。设置 Outlook 时必须已激活邮箱。电子邮件 ID 仅在设置单点登录密码后共享。同样正如James Snell所指出的，在创建帐户后几分钟内收到电子邮件是不太可能的。

一家称职的公司拥有图像、程序，通过自动化处理这些事情，而无需在任何时候以新用户身份登录。

通过索克尔

小公司并不总是投资于自动化。如果一家公司每年雇用大约 10 名员工，并且每个人都担任不同的角色，那么实现自动化和维护自动化所需的工作量将大于人工工作量。只有当您有大量重复完成的工作时，自动化才值得付出努力。换句话说，自动化所需的工作量应少于手动工作所需的工作量

如果管理员在任何时间点对您的帐户进行了不受监控的访问；他们本可以在你的名下设立任何东西——阻止任何回报给他们。

由UKMonkey

管理员在此期间采取的任何操作都可以链接回他们，因为很明显，在用户使用单点登录密码重置密码之前，该帐户不会移交给用户。

在小公司中，设置新员工机器的管理员很可能也是公司电子邮件和文档服务器的管理员。在这种情况下，管理员已经能够随时以您的身份阅读您的电子邮件或发送电子邮件，而无需访问您的计算机。

如果是这种情况，那么这里就没有新的安全问题，尽管这种做法确实有点多余。理论上，管理员永远不需要使用有效密码登录您的帐户；他们可以改为以管理员帐户登录，并且几乎可以从那里做他们需要做的任何事情。

在实践中，除非您的 IT 团队有足够的实践经验，能够每次都可重复、正确且可靠地设置新机器，否则通常以用户身份登录以测试设置并执行一些更容易的配置以实际用户身份进行操作，而不是在以管理员身份登录时尝试模拟效果。许多企业系统旨在允许管理员在没有用户密码的情况下重置另一个用户密码或冒充另一个用户，通常会记录下来以允许审计，但在较小的公司中，同一个管理员可能也可以访问他们所在的系统可以篡改审计日志。

“永远不要告诉管理员我的密码”这句格言的主要原因是为了防止用户成为社会工程的受害者，因为如果用户一直被告知真正的管理员永远不会真正需要或询问您的密码，它就会变成一个自动响应，只有伪装成管理员的人才需要询问您的密码。第二个原因是很多人重复使用他们的密码。在这种情况下，他们分享的可能比他们意识到的要多得多。这些都不适用于这种情况。

我将从不同的方向来处理这个问题。

您的问题是基于帐户在创建时是新用户的责任和/或财产的假设，但事实并非如此。

创建帐户时，它属于 IT 部门，而不是用户。

您描述的初始设置发生在新用户拥有帐户之前。

帐户上有新用户名的事实并没有改变这一点。管理员可以为唐老鸭创建一个帐户，然后将名称更改为新用户的名称。

用户只有在登录并分配自己的密码时才拥有该帐户并对其负责。这就是账户的交接。

假设您订购了一份外送披萨。商店写下你的名字，然后开始做披萨。他们可能会在上面放错误的浇头，或者烧掉它，或者扔掉它。这是一个安全问题，因为他们可以访问您的披萨吗？不，因为它还不是你的披萨。它还没有交给你。如果商店犯了错误，他们有责任纠正它。

一旦您付款并收货，这将成为您的责任。如果你丢了它，或者把它扔给你的邻居，比萨店概不负责。

关于电子邮件问题，如果电子邮件在用户第一次登录之前存在于帐户中，那没关系，因为它还不是他的电子邮件。无论如何，电子邮件并不安全，任何数量的人都可以轻松查看它。此外，在大多数司法管辖区，公司电子邮件是公司的财产，而不是个人的财产。

一般来说，它建议您使用个人帐户进行所有操作。日志将显示谁做了什么。这就是为什么管理员不只是使用“root”或“管理员”登录，而是拥有自己的帐户：您可以知道谁做了什么，并且您可以轻松地撤销管理员的凭据，而无需更改所有管理员的密码。

用户难以选择安全密码。如果他们记住了一些强密码并将其用于所有事情，那么您可能已经将其视为高于平均水平的用户。如果管理员知道用户的密码，他们可能能够登录到用户的私人帐户（例如个人电子邮件、音乐流媒体服务等）。管理员始终可以模拟用户：他们可以重置密码，而且通常也可以在不知道密码的情况下以该用户身份登录。在类 unix 系统上，您可以运行命令su john以 john 身份登录：如果您是普通用户，它将询问 john 的密码；如果你是 root，它只会让你以 john 身份登录，而不需要他们的密码。由于第一段中提到的原因，不建议这样做，但它'

最后一条相关信息是，需要它的用户更容易配置。如果 John 需要 Outlook，您可以编写一个脚本并安排它在首次登录时执行。但是，在小型组织中，以 John 身份登录一次并手动设置 Outlook 可能更有效。尤其是 Windows 不适合编写脚本：大部分都是可能的，但还没有完善，有些东西仍然只能通过图形用户界面 (GUI) 访问。

总之，假设这是既定程序，我认为没有风险。管理员无论如何都可以以任何用户身份登录，因此他们不会通过它获得更多权限。他们也没有学习用户的个人密码。唯一的问题是日志会以错误的名称短暂显示活动，但我认为恶意管理员没有任何好处：还有一千种其他（更简单的）方法可以做恶意事情。