Hmm das hast du nicht ganz richtig verstanden. Ich versuchs mal so:
Admin Konto deaktivieren: Aus Sicherheitsgründen, weil es das Standardkonto ohne Passwort ist und die Welt draußen kennt das Konto und versucht in der Regel zuerst einen Angriff über dieses Konto zu fahren.
Danach neues Admin-Konto anlegen mit Passwort und 2FA und deine DS einrichten. Sonste keine weitere Änderungen vornhmen vor allem nicht an den Berechtigungen.
SSH kannst aktiviert lassen für den Notfall solange SSH nicht von außen erreichbar ist.
Jetzt dann noch einen normalen Benutzer einrichten, gerne auch mit 2FA, mit dem du die normale Arbeit machst. Für den kannst du dann die Rechte beliebig steuern.