A maioria dos lugares usa dois conjuntos de senhas: autenticação on-line e senhas off-line. A autenticação on-line geralmente é feita com um sistema de autenticação / autorização (AA) como o Kerberos. Cada usuário administrador recebe os tokens e direitos de acesso adequados nos servidores
Para administração off-line de sistemas críticos, as senhas raiz são armazenadas separadamente (no nosso caso, em um sistema fisicamente desconectado). Todo o acesso à lista de senhas é registrado, e o usuário precisa inserir uma motivação para recuperar a senha raiz de um servidor. Anteriormente, a lista de senhas off-line era uma lista impressa armazenada em um cofre.
Ao provisionar uma VM, você normalmente pode optar por não ter nenhuma senha raiz e apenas atribuir autenticação / autorização on-line. É muito improvável que você precise administrar máquinas de VM quando seus servidores AA estiverem off-line.