... такое решение - убрать пользователя из sudoers,
Его туда и не нужно было добавлять.
в этом случае в графике запрашивается рутовый пароль.
Рута нужно вообще оставить в пакое и заблокировать как было изначально.
для работы из консоли завести еще одного пользователя с UID меньше 1000, что бы он был скрытым.
Извините, но про UID меньше 1000 - это как бы не стандартно (что бы не сказать бредово).
как думаете, годное решение? или может есть что попроще?
Проще вам уже сказали - ограниченному пользователю не давать группы sudo, adm/admin. Свою учетку (ту что создана при установке ОС) держать под надежным паролем. Если надо из сессии ограниченного пользователя что-то запустить с привелегиями - то запускайте под собой со своим паролем.
У меня именно так детский комп настроен - дети ничего сломать не могут кроме как свои собственные файлы потереть. А любые административные мероприятия у меня проводить на их компе - никаких сложностей не составляет: все, что нужно я делаю прямо из их сессии под своей учеткой, или удалено по SSH опять же логинясь под своей учеткой. Если мне нужны рутовые права я делаю sudo или ввожу свой пароль в GUI.