Eu usaria sudo
. Você expressa relutância a essa abordagem, mas você só estaria concedendo ao seu usuário acesso root para executar o único comando timedatectl
.
Este deve poder ser resolvido com o PolicyKit também, mas efetivamente teria o mesmo resultado de permitir que um usuário executasse um único comando como root. Então, os riscos seriam semelhantes - e você já sabe como resolver o problema com sudo
.