Можно создавать контейнеры двух видов:
привилегированные - доступно выполнение команд LXC от имени root;
непривилегированные - доступно выполнение команд LXC от имени обычного пользователя. Такие контейнеры более ограничены, например они не могут создавать файлы устройств или монтировать файловые системы на блочных устройствах.