Или я читал невнимательно и что-то не понял...
Если ты вошел, как юзер, то не обязательно завершать сеанс юзера, чтобы войти в графике рутом.
Переход в другую консоль (ctrl-alt-F1...F6), логинишься, как рут, запускаешь иксы (иксы, запущенные юзером, будут на 7-й консоли - так принято, естественно можно переключаться между ними, но вот нужно-ли). Или что-то не так?...
Далее, почему два пароля позволяют администрировать систему? Да потому, что, не только рут, но и юзер с административными правами может это делать. Собственно, сама идея судо на этом и основана, чтобы не нужно было логиниться под рутом, чтобы сломать систему
Если хочешь у юзера, которому делегированы права администрировать систему, отобрать эти права - так сделай это. Грубо говоря, запрети ему использовать sudo.
Или я что-то не понимаю?
ЗЫ. Никогда в Убунте не использовал учетки рута и не вижу в ней необходимости. Убедите меня в обратном - покажите что-то, чего нельзя сделать иначе, как залогинившись рутом
В Gentoo рутом также никогда не пользуюсь. На все необходимое вполне хватает su.