Nie znam jednego miejsca, zależy to też mocno od dystrybucji i konfiguracji systemu. Z tego co się spotkałem to zazwyczaj:

• adm - grupa pozwalająca na odczyt logów. Chociaż spotkałem się tez, że pozwala na wgląd do wszystkich procesów (nieograniczony przez grsecurity),
• nobody/nogroup - grupa dla procesów nieprzypisanych do innych użytkowników/grup. Procesy uruchomione z poziomu użytkownika nobody:nobody nie powinny ingerować w system, tworzyć plików itepe - z lenistwa w sytuacji gdy jakiś proces nie wymaga uprawnień roota, a nie ma potrzeby tworzenia dla niego osobnego użytkownika/grupy - jest często uruchamiany jako nobody z grupą nobody. Nikt inny w tej grupie nie powinien być,
• users - domyślna grupa dla użytkowników (czyli nie procesów, tylko realnych użytkowników). Co może robić - np. logować się,
• rtkit - to chyba grupa dla demona rtkit pozwalająca na uzyskiwanie przez aplikacje priorytetu realtime. co może robić - nie mam pojęcia. :)