Как обезопасить клиентские системы ldap?

Я настроил ЛВС с сервером ldap и несколькими клиентами ldap, на которых запущены Debian (на сервере) и Ubuntu (на каждом клиенте).

Как я могу остановить возможного злоумышленника, который может получить доступ к серверу ldap, от получения корневого доступа на клиентских системах?

Я думаю, что злоумышленник может попытаться дублировать пользователя root или другой пользователи или группы, которые имеют права sudo и получают root-доступ на клиентах.

Я хочу получить централизованные учетные записи только для обычных пользователей и некоторых групп без особых прав.

Как я могу контролировать это в системе Ubuntu?

Я хотел бы использовать условие, подобное uid> 1000.