¿Se debe activar o desactivar UAC en los servidores?

Cualesquiera sean las razones por las cuales el UAC debe mantenerse habilitado, apunta (al menos en teoría) a mitigar el impacto de un programa potencialmente malicioso. Según Microsoft:

  

Bajo ciertas circunstancias restringidas, deshabilitar la cuenta de usuario   El control (UAC) en Windows Server puede ser aceptable y recomendado   práctica. Estas circunstancias ocurren solo cuando todos los siguientes   Las condiciones son verdaderas:

     

1. Solo los administradores pueden iniciar sesión en el servidor basado en Windows de forma interactiva en la consola o mediante el uso de Escritorio remoto   Servicios.
  
2. Los administradores inician sesión en el servidor basado en Windows solo para realizar funciones administrativas legítimas del sistema en el servidor.
  

Si alguna de estas condiciones no es verdadera, el UAC debe permanecer habilitado.   Por ejemplo, si el servidor habilita la función de Servicios de escritorio remoto para   que los usuarios no administrativos pueden iniciar sesión en el servidor para ejecutarse   aplicaciones, UAC debe permanecer habilitado. Del mismo modo, UAC debe permanecer   habilitado si los administradores ejecutan aplicaciones de riesgo en el servidor, como   navegadores web, clientes de correo electrónico o clientes de mensajería instantánea, o si   Los administradores realizan otras operaciones que deben realizarse desde   un sistema operativo cliente como Windows 7.

( Source )