Das sudo mit der sudoers ist schon der richtige Weg.
Es gäbe natürlich noch weit kompliziertere Wege dein Ziel zu erreichen.
sudo sträubt sich anfangs schon, aber du hast es ja schon fast geschafft... Wird schon.
(ist halt uralt und fordert demzufolge halt auch steinzeitliches Denken und schreiben)
Was mich ein wenig wundert, ist, dass du einem User Rechte geben möchtest, so dass er munter installieren kann.
Klingt komisch. Willst du ihm das wirklich systemweit erlauben?
Für cups würde es auch genügen den User einfach die cups Group zu verpassen.
Und cups hat noch eine eigene Userverwaltung, in der du sehr fein granuliert festlegen kannst, dass der Chef gar nix darf, die Normalos drucken und die ITler alles kaputtkonfigurieren dürfen.