Eu acredito que o oem-config apenas restaura os valores debconf para alguns módulos, o interessante aqui é d-i passwd , que cria uma conta de usuário durante a instalação. Como essa pode ser a única conta que pode efetuar login (a conta raiz pode estar desativada), d-i passwd adiciona automaticamente a conta ao grupo sudo e não há uma opção para substituir isso.
Parece que oem-config fornece uma chave late-command que é executada no final do processo, por isso acredito que você poderia usá-la para remover qualquer / todos os usuários do grupo sudo . Eu não tentei isso sozinho (eu uso preseed / kickseed para toda a minha configuração), mas assumindo que funciona da mesma forma que o late_command preseed, você pode adicionar uma única linha (lógica) de código shell a ser executada. Algo como isso foi executado no terminal antes que a reinicialização funcione:
echo "set oem-config/late-command sed -i '/^(sudo:x:[0-9]+:).*$//' /etc/group" | debconf-communicate