Dudas seguridad

[Shaglok]

Hola a todos. Un amigo ha instalado Ubuntu en un equipo público y
tenemos las siguientes dudas. La estructura de usuarios es la siguiente:
Ocio: No puede hacer nada excepto navegar por internet y usar Gaim y
OpenOffice. No tiene acceso a CDs ni impresoras ni nada.
Avanzado: Lo mismo pero usando CDs, impresoras, scanner y demás.
Y para cosas administrativas ha creado el usuario Administrador, para no
usar root.

El problema es el comando sudo. No queremos que Ocio pueda usarlo, si lo
hace con solo saber su contraseña podría hacer lo quisiera. Por ello
tiene contraseña, pero él prefiere que no sea así. El caso es que nos
interesa saber cómo lograr que el usuario este no pueda usar sudo, vamos.

Para que Administrador no necesite meter la clave al usar sudo añadimos
esto a /etc/sudoers:
administrador ALL=(ALL) NOPASSWD: ALL.

Ah, también queremos que ningún usuario pueda cambiar ni su fondo de
pantalla ni añadir/quitar iconos al escritorio ni a los menús. ¿Se puede
hacer eso, cómo?

Mil gracias a todos.