> добавлять/удалять файлики в /etc/sudoers.d/ религия не позволяет?
> кстати учимся задавать вопросы - у каждого дистра могут быть свои приколы
> ...

Мне надо для любого дистрибутива. Я знаю, что "у каждого дистра могут быть свои приколы". Более того, у меня не один дистр. Вот и спрашиваю про уже кем-то сделанное сложное.

В sudoers.d нельзя просто так класть. Оно зависит от порядка инструкций в файле. Или - это не играет роли для конкретно раздачи прав аккаунтам?

> про /etc/sudoers.d уже подсказали

Оно зависит от порядка инструкций в файле. Там нельзя вот так просто что-то класть в sudoers.d, оно может не заработать.

Или - конкретно в отношении прав аккаунтов это не играет роли? Что-то было у меня раньше на этот счёт. Нельзя было именно так.

>  Chef делает все правильно, продумайте это на 1000 серверов, а может
> и больше, потом поймете почему так работает

Я понимаю, про 100500 серверов. :) У вопроса есть неизвестный Вам подтекст (он связан с дураками и дорогами :))), его нет смысла обсуждать и приводить тут). Ок. Вопрос задан, ответ получен.

Принимаю ответ. И, в принципе, я согласен. Я проверяю понимание.

Как сформулировать в два-три предложения, "почему оно так работает"? Поясню конкретно этот вопрос. Вопрос не про детали и способ использования, а про то, зачем именно так реализовано. Я согласен - вероятно, правильно, но - вероятно. Какая идея и какие грабли..

>> а лишь меняя часть его?
> Да, легко! Открыть-найти-добавить. sed/awk/perl вам в помощь.

Делаете 3 файлика -
sudoers-a, до места, где добавляется юзверь,
перечня ваших юзеров (строчки что вставляем)
второй части sudoers-a

скриптом формируете второй файлик (список зверей)

chmod 600 <PATH_TO>/sudoerrs && cat <file1> <file2> <file3> > <PATH_TO>/sudoerrs && chmod 400 <PATH_TO>/sudoerrs

как-то так, фактисски ОС-е-независимо должно получиться