Как препятствовать тому, чтобы пользователь добавил или удалил принтеры?

Это могло быть сделано с помощью политики PolKit. Существует несколько связанных с принтером действий Polkit:

$ pkaction | grep -i print
org.opensuse.cupspkhelper.mechanism.printer-enable
org.opensuse.cupspkhelper.mechanism.printer-local-edit
org.opensuse.cupspkhelper.mechanism.printer-remote-edit
org.opensuse.cupspkhelper.mechanism.printer-set-default
org.opensuse.cupspkhelper.mechanism.printeraddremove

последний, кажется, является самым релевантным. Создайте .pkla файл в /etc/polkit-1/localauthority/50-local.d названный, скажем, disable-printer-change.pkla, содержа:

[Printer addition, removal]
Identity=unix-user:geraldo
Action=org.opensuse.cupspkhelper.mechanism.printeraddremove
ResultAny=no
ResultInactive=no
ResultActive=no

Замена geraldo с соответствующим именем пользователя. Подстановочные знаки поддерживаются, и можно также использовать groups использование unix-group:<group-name>.