В таком случае администратор должен писать (ну или, по-крайней мере, контролировать) deploy-скрипты, вместо того, чтобы контролировать допустимые действия. Больше похоже на уход от проблемы, на мой взгляд.
Тем не менее никто в таком случае не помешает в конфиг деплоя добавить вредоносный код, например. Он прекрасно выполнится, даже при отсутствии доступа к серверу с машины девелопера, так ведь?
В таком случае администратор должен писать (ну или, по-крайней мере, контролировать) deploy-скрипты, вместо того, чтобы контролировать допустимые действия. Больше похоже на уход от проблемы, на мой взгляд.