Não é aceitável nem necessário que um administrador solicite a senha de um usuário.
Nas circunstâncias em que pode ser necessário que um administrador efetue login como usuário (e não acredito que tais circunstâncias existam), o usuário deve fazer login e supervisionar as atividades do administrador.
A razão para isso é a responsabilidade. É da responsabilidade de cada usuário garantir que sua senha seja segura. Se atividades maliciosas fossem rastreadas até as credenciais de um usuário, esse usuário poderia ser responsabilizado. Portanto, eles precisam garantir que suas credenciais permaneçam seguras.
Também é responsabilidade da organização garantir que isso não seja apenas adotado, mas também cumprido. Houve um caso legal em que alguém em uma organização enviou um e-mail malicioso usando a caixa de correio de outra pessoa. O proprietário da caixa de correio foi finalmente descartado. Embora eles argumentassem que haviam dado sua senha a outra pessoa, a empresa insistiu que era sua responsabilidade manter a integridade de suas credenciais e, portanto, era responsável, conforme ditado pela política de TI da empresa. Isso foi então anulado por um tribunal quando este usuário provou que havia uma cultura de compartilhamento de senhas endêmica dentro da organização. O tribunal determinou que, se a empresa não pudesse ser vista para aplicar ativamente sua política de TI, não poderia contar com ela para prestar contas sob essas circunstâncias.
Dito isso, há claramente um abismo entre a teoria e a prática. Contratei uma grande empresa multinacional que fornece, entre outras coisas, serviços de consultoria de TI e, como parte do procedimento documentado para uma atualização de SOE, fomos instruídos a solicitar a senha do usuário final.
Pessoalmente, adoto uma abordagem rígida para isso. Não acredito que seja necessário solicitar senhas (ou reconfigurá-las para acessar a conta de um usuário). Se houver uma carga de trabalho muito maior para contornar isso, então que assim seja. Não é desculpa para comprometer a segurança. Eu acho que sou apenas afortunado por não ser um gerente, e por isso não tenho que me responsabilizar por essas decisões quando instruído a fazê-lo por alguém superior.