Como o conceito de "id do usuário" era originalmente destinado à contabilidade, mais do que segurança, e nem toda conta de "usuário" significa algo que possa potencialmente consumir um cheeseburger. O grupo "usuários" destina-se a designar identidades de usuários que, de fato, são mapeadas para pessoas reais. Como um exemplo simples, em muitas estações de trabalho gráficas baseadas em UNIX, a tela de login não mostrará todas as contas de usuário em / etc / passwd, mas somente aquelas no grupo "usuários" (ou talvez em alguns compartimentos mais apertados).
Considere o servidor da Web Apache. Em muitos sistemas, isso é executado como o "usuário" 'httpd'. No entanto, obviamente, não esperamos que alguém faça login como esse usuário. No sentido clássico de contabilidade, não queremos cobrar nenhum usuário normal pelo tempo de CPU usado pelo servidor da web do sistema. No sentido de segurança posterior, o servidor da Web não deve conseguir fazer o conjunto completo de coisas que um usuário conectado pode fazer.
Hoje em dia, temos o SELINUX, listas de controle de acesso e vários outros conceitos que nos oferecem formas mais flexíveis de bloquear as coisas. Mas a idéia básica ainda é fazer algo semelhante a um usuário que tenha menos - ou pelo menos, diferentes - permissões do que um usuário logado.
Agora, para a próxima parte da sua pergunta: por que o grupo de usuários está em branco?
Porque você tem seu próprio grupo em seu lugar. Se você adicionar uma conta para seu amigo nessa máquina, ela também receberá seu próprio grupo. No entanto, eles não receberão nenhuma permissão especial que você tenha adicionado ao seu próprio grupo. Com a abordagem do grupo "Usuários", supondo que eles fossem membros desse grupo, todos os seus aprimoramentos e restrições para esse grupo seriam fornecidos para a nova conta.
Para um exemplo prático, se você instalar o Oracle VirtualBox, você provavelmente terá que adicionar um grupo "vboxusers" que lhe dará acesso aos dispositivos especiais em / dev que permitem que o VirtualBox acelere certos dispositivos e passe por outros. Da mesma forma para o Wireshark, se você usar isso.
Para sistemas que criam novos grupos para cada usuário, geralmente há um modelo usado para o novo grupo.