Como limitar tarefas administrativas para usuários normais?

Remova seus usuários do grupo admin . Dê a eles suas senhas. Eles poderão fazer o login e bloquear suas telas, mas não poderão modificar o sistema por meio de atualizações ou instalação de programas em todo o sistema.

O seguinte fragmento de shell remove o usuário djeikyb do grupo admin.

id mostra informações sobre um usuário. As opções n e G fazem o comando imprimir os nomes dos grupos em que o usuário está.

usermod com a opção G permite que você especifique quais grupos deseja um usuário. Acabei de copiar e colar a saída id -nG e adicionei vírgulas entre cada nome de grupo. O usuário que você deseja afetar é nomeado no final do comando.

$ id -nG djeikyb
djeikyb adm dialout cdrom audio video plugdev admin
$ usermod -G djeikyb,adm,dialout,cdrom,audio,video,plugdev djeikyb
$ id -nG djeikyb
djeikyb adm dialout cdrom audio video plugdev

Somente usuários que possuem uma conta "Administrador" podem usar o sudo, outros usuários não podem. Por padrão, somente o primeiro usuário (criado durante a instalação) possui direitos de "Administrador". Você também pode alterar o tipo de conta a qualquer momento usando o painel de configuração para contas de usuário (mas é claro que apenas um usuário com uma conta "Administrador" pode alterá-la;)).

Detalhes da implementação técnica: O Ubuntu usa a associação do grupo de usuários admin para determinar se um usuário possui "direitos de administrador".

Você pode criar seu próprio usuário e se colocar no grupo de administradores (o grupo usado para administrar a caixa) e, em seguida, remover o outro usuário desse grupo.

Não vejo por que você precisa mantê-lo em uma única conta. Esta é a razão básica para usar várias contas (permissões)