Isaac:
Wichtig ist, an welcher Stelle du deine NOPASSWD Einträge in der sudoers-Datei ablegst. Sie wird von oben nach unten geparsed und der letzte Treffer zählt.
Sollten also deine Einträge beispielsweise VOR der Zeile %sudo ALL=(ALL:ALL) ALL stehen, so matched letztendlich der eben genannte Eintrag über die sudo-Gruppe und es wird nach einem Passwort gefragt.
Du kannst das ganz einfach austesten, indem du mit dem betroffenen User die Rechte abfragst: sudo -l. Der letzte aufgelistete Eintrag zählt.
Habe es eben im WSL (Debian Buster) nachgestellt, klappt einwandfrei, wenn es an der korrekten Stelle steht.
PS: Ich glaube es ist auch ratsam vollständige Pfade zu verwenden, Beispiel: username ALL=(ALL:ALL) NOPASSWD:/usr/bin/apt update
ThomasChr: Ich finde übrigens, dass WSL schon seine Daseisberechtigung hat, wenn man sonst eher im Windows-Universum zuhause ist. Bequem mit dem Gewohnten Explorer oder Entwicklungsumgebung direkt aufs Linux zuzugreifen hat schon seine Vorteile. Wer es nicht mag, nimmt halt direkt ein Linux. Aber das führt hier sonst wieder zu einer seitenlangen Offtopic-Diskussion.