Bueno, pensándolo más a fondo, creo que un método de interfaz de usuario de alta fricción tipo sudo podría ser la mejor opción, ya que esa configuración es “insegura” para la ventana de edición y no todos los administradores tienen acceso a la consola de Rails (piensa en sitios alojados, por ejemplo).
Quizás algo como esto: cuando un administrador intenta guardar el nuevo correo electrónico, debería aparecer un cuadro de diálogo modal que lo obligue a volver a ingresar su propia contraseña para confirmar la acción (o un desafío de autenticación en dos pasos si está habilitado). Es obvio que esta acción debe registrarse en detalle en los registros del personal. Creo que aún se requiere alguna forma de verificación obligatoria del usuario para darle a un usuario legítimo la oportunidad de informar una toma de control de cuenta, y también debería enviarse una notificación a la nueva dirección de correo electrónico confirmando el cambio. 
Me opongo firmemente a la idea de que un administrador pueda simplemente cambiar las direcciones de correo electrónico a petición de los usuarios. Debe haber algún nivel de fricción o complejidad con la verificación.