Как ограничить административные задачи для обычных пользователей?

Удалите своих пользователей из группы admin. Дайте им их пароли. Они смогут войти в систему и заблокировать свои экраны, но не смогут модифицировать систему с помощью обновлений или установки общесистемных программ.

Следующий отрывок оболочки удаляет пользователя djeikyb из группы администраторов.

id показывает информацию о пользователе. Опции n и G заставляют команду печатать названия групп, в которых находится пользователь.

usermod с опцией G позволяет указать, в какие группы вы хотите включить пользователя. Я только что скопировал и вставил вывод id -nG и добавил запятые между именами каждой группы. Имя пользователя, на которого вы хотите повлиять, называется в самом конце команды.

$ id -nG djeikyb
djeikyb adm dialout cdrom audio video plugdev admin
$ usermod -G djeikyb,adm,dialout,cdrom,audio,video,plugdev djeikyb
$ id -nG djeikyb
djeikyb adm dialout cdrom audio video plugdev

Только пользователи, имеющие учетную запись «Администратор», могут использовать sudo, другие пользователи не могут. По умолчанию только первый пользователь (созданный во время установки) имеет права «Администратор». Вы также можете изменить тип учетной записи в любое время, используя панель конфигурации для учетных записей пользователей (но, конечно, только пользователь с учетной записью «Администратор» может изменить его;)).

Подробности технической реализации: Ubuntu использует членство в группе пользователей admin, чтобы определить, есть ли у пользователя «права администратора».

Вы можете создать своего собственного пользователя и поместить себя в группу администраторов (группу, используемую для администрирования окна), а затем удалить другого пользователя из этой группы.

Я не понимаю, почему вам нужно хранить это в одной учетной записи. Это основная причина использования нескольких учетных записей (разрешений)