Por exemplo, docker. Depois de instalar o docker, temos a opção de usar sudo para cada comando do docker ou adicionar o usuário ao grupo "docker" e esse usuário pode executar todos os comandos do docker. (Eu entendo as graves implicações de segurança de adicionar usuários ao grupo docker, mas ignore esse aspecto, pois é irrelevante para minha pergunta).
Assim, uma vez que o usuário é adicionado ao grupo "docker", o usuário pode executar todos os comandos do docker diretamente, como "docker ps", "docker images" etc (sem sudo). Por meio do processo docker, o usuário pode ler e gravar arquivos que aparentemente são de propriedade do root, por exemplo /var/lib/docker & /etc/docker/daemon.json etc.
Como tudo isso foi possível simplesmente adicionando um usuário a um grupo? Onde é possível visualizar/modificar o que a associação ao grupo permite e não permite?