Ich betreue große Desktop-Umgebungen mit sehr heterogenen Nutzerkreisen. Für embedded-Entwickler muss ich immer wieder sudo-Regeln bauen, die deren Anforderungen, auch in Bezug auf proprietäre 3rd party Software und Dinge auf der Werkbank so abbilden, dass sie nicht genervt sind, aber gleichzeitig in den security Regeln des Konzerns bleiben. Da kommt dann sowas bei rum wie "darf folgende executable als folgender User starten und nach erstmaliger Authentifizierung bleibt die Berechtigung kennwortlos erhalten bis das Token vom USB-Port gezogen wird oder es nach 19:00 abends ist. Und wir schleppen folgende Teile des userenvs mit in die sudo-Session außer wenn Bedingung X".
Da findest du dann auf einmal polkit intuitiv und wünschenswert.