Предвосхищая "пустые" ответы и вопросы.
Система настраивается как замена офтопика для организации. По понятным причинам офтопик никуда не исчезнет еще много лет. Поэтому настраивается для работы в гетерогенной архитектуре. Есть офтопик AD поэтому настраивается работа с ним для нормального функционирования и офтопиков и linux (может быть потом и при необходимости, после значительного "превышения" linux над офтопиком будет раcсмотрен вариант freeipa + доверительные отношения).
И есть МНОГО установок (которые не повод для обсуждения - а просто факт, как "законы природы"):
1) Пароль root на всех машинах должен быть разный, или вообще отключена уз root (требование СБ)
2) Пользователь может быть в некоторых случаях "админом" на выделенном ему компе
3) Некоторые пользователи должны иметь возможность выполнять некоторые/все операции с повышением на любых компах
4) компов и админов очень много
там еще много чего, но это основные тезисы по данному вопросу.
Как следствие из всего этого - нужно изменить "поведение по умолчанию" для pkexec или задать в место него другую тулзу. Варианты "запускать через консоль", что то менять в настройках конкретной программы на конкретном компе, помнить пароли от всех машин и т.д. это все не вариант.
Нужно "типовое" решение вопроса - функционирование pkexec (или его аналога) по средством настроек из sudoers, а не знанием пароля от root в GUI, т.д. админ может будет "шуршать" через консоль, то вот с юзверями это уже беда. Опять таки не надо тут про то что их надо учить, а если не знают/не умеют не допускать к компам - мы решаем вопросы функционирования бизнеса и предприятия, а не "домашним администрированием" - подходы совсем другие.