Ни в коем разе:
http://msdn.microsoft.com/en-us/library/cc151052.aspx. Привилегией имперсонации обладают не все пользователи. По умолчанию в группе безопасности, для которой разрешены такие действия находятся только учетки самого сервера CRM и сервера электронной почты (если был указан при инсталляции). Так что если ваши пользователи не являются деплоймент админами/ администраторами IIS, которые могут поместить свой зловредный код в плагины, или в веб страницы которые выполняются в пуле CRM, или от имени привилегированной встроенной учетки сервера, то угроза безопасности минимальна.