Se você procura um grupo centralizado ou um gerente de usuários, há muitos aplicativos comerciais disponíveis para isso.
Em suas caixas de linux, desabilite o login como root e faça os usuários logarem como eles mesmos. Se a caixa autenticar para o LDAP ou AD, você terá um registro de tais transações. Você ainda precisará conceder a esse usuário direitos específicos na caixa. Usar o sudo uma vez logado na caixa também facilita a auditoria e o rastreamento.
Não saber como sua empresa é estruturada e dividida dificulta a resposta da pergunta. Segurança, administradores de servidores, gerentes de aplicativos são divisões separadas onde estou empregado. Os gerentes de aplicativos não têm direitos de administrador para executar essas ferramentas, apenas os administradores de servidores. Administradores de servidores, embora possam adicionar / remover / excluir contas locais em uma caixa, não podem alterar o AD / LDAP. A segurança audita todos os servidores para obter quais contas locais estão em uma caixa específica e precisa que as pessoas justifiquem seu uso.
O uso de um login de usuário genérico pode deixar seu sistema aberto sem nenhuma maneira de determinar quem causou o problema. É melhor bloquear tudo e dar acesso conforme necessário, então, supor que as pessoas serão honestas e que novas coisas vão estragar tudo. É mais trabalho para você, mas permitirá que você durma melhor à noite. Mais importante, você nunca viveu até descobrir que um de seus servidores foi comprometido e o CIO quer saber o motivo.