在Docker中，容器擁有自己的權限管理系統(tǒng)。容器中的應用程序可以被分配到特定的用戶或組中，以便限制對系統(tǒng)資源的訪問。此外，Docker還支持掛載宿主機的文件系統(tǒng)，讓容器內的應用程序可以訪問宿主機的文件資源。

當一個容器啟動時，Docker會創(chuàng)建一個新的命名空間和一個新的進程列表。每個命名空間都是隔離的，包含獨立的文件系統(tǒng)、網絡接口、進程列表等。這樣，容器內的進程只能看到容器內的其他進程，無法訪問宿主機的進程。

為了進一步控制容器內的權限，Docker提供了一些選項，如--user和--group。--user選項可以指定容器內應用程序的運行用戶，--group選項可以指定所屬的用戶組。這些選項都是以UID和GID的形式指定的，確保容器內的用戶和組的身份與宿主機保持一致。

另外，Docker還提供了--privileged選項，可以使容器擁有宿主機的完全訪問權限。這個選項應該謹慎使用，因為容器內的應用程序可能會對宿主機上的系統(tǒng)資源產生不可預知的影響。

docker run -it --rm --user 1000:1000 ubuntu:latest

上面的命令會在一個新的容器中啟動一個交互式的Ubuntu終端，并將容器內的應用程序運行在UID為1000，GID為1000的用戶下。