Нет, немного не то я имел в виду. Установив систему и заведя Первого Пользователя, мы имеем почти то, что нужно. Первый Пользователь работает за компом, а убить систему может, только введя свой пароль. И менеджер обновлений может запустить с помощью пароля.
Теперь можно (через меню Система - Администрирование - Пользователи и группы) добавить ещё пользователя. Одна из настроек учетной записи при этом - Профиль. Можно выбрать 3 варианта - Administrator, Desktop user, Unpriveleged. Похоже, у Первого Пользователя профиль как раз - Administrator.
Так вот, Administrator может администрировать (и обновлять программы, и портить систему), а Desktop user не может портить систему, но и проги обновлять не может. А как сделать, чтобы он обновлял, но ничего не убил?