В администраторе symfony я могу, например, отключить действия удаления и редактирования в generator.yml
Может ли пользователь изменить URL и по-прежнему получать доступ к этим функциям, или я должен также отключить их в security.yml?
Очевидно, что если вы отключите их в конфигурации, они не будут работать, если вы не включите их снова. Фабьен не тупой;)