Essa seção refere-se à parte Runas_Spec do Sudo, que mais detalhes podem ser encontrados em a página man .
No seu exemplo, qualquer membro do grupo administrativo pode escalar para ter privilégios sudo como qualquer usuário, e os membros do grupo sudo podem escalar para ter privilégios sudo como qualquer grupo e .
Exemplo abaixo, criei dois usuários e forneço a eles o esboço de diferentes privilégios em sua pergunta;
cat /etc/sudoers | grep ^test
test1 ALL=(ALL) NOPASSWD: ALL
test2 ALL=(ALL:ALL) NOPASSWD: ALL
Em seguida, testamos que eles executem comandos como o usuário e grupo do apache, observe o prompt da senha do usuário test1 ao tentar executar o grupo do apache;
[test1@heisenbug root]$ sudo -u apache ping google.com
PING google.com (74.125.230.233) 56(84) bytes of data.
64 bytes from par08s10-in-f9.1e100.net (74.125.230.233): icmp_seq=1 ttl=63 time=36.2 ms
--- google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 36.245/36.245/36.245/0.000 ms
[test1@heisenbug root]$ sudo -g apache ping google.com
[sudo] password for test1:
[test2@heisenbug root]$ sudo -u apache ping google.com
PING google.com (74.125.230.226) 56(84) bytes of data.
64 bytes from lhr08s06-in-f2.1e100.net (74.125.230.226): icmp_seq=1 ttl=63 time=34.4 ms
--- google.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 34.465/34.465/34.465/0.000 ms
[test2@heisenbug root]$ sudo -g apache ping google.com
PING google.com (74.125.230.233) 56(84) bytes of data.
64 bytes from lhr08s06-in-f9.1e100.net (74.125.230.233): icmp_seq=1 ttl=63 time=35.0 ms
64 bytes from lhr08s06-in-f9.1e100.net (74.125.230.233): icmp_seq=2 ttl=63 time=33.5 ms
--- google.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 33.575/34.308/35.042/0.756 ms
Eu só posso imaginar um conjunto muito restrito de circunstâncias em que esse tipo de uso seria aplicável.