> man setfacl, надеюсь, прочитан? Не то чтобы конвертация была возможна прозрачно, у posix acls другой набор параметров, но статическую табличку что во что - нарисовать вполне было бы можно.

Ну я же так и сказал. Там не понятно, что с правами. POSIX ACL проще засунуть в кастомный атрибут (вроде так WSL1 и делает) и ничего не конвертить вовсе. Медленно это и есть риск сломать при переподключении такого диска в венду, табличка-то не даст взаимно однозначного соответствия.

> в этом случае у нас, внезапно, нет и возможности узнать что-то там про "атрибут города"

У юникс-пользователей их не водится. В принцие, у windows пользователей их тоже не водится, это фича AD, а его, внезапно, может не быть.
Когда каталога нет и доступа к файлу такому нет, если ты не локальный администратор. А так-то L объявлен в RFC2256. Он стандартный для LDAP к AD не привязан.

> Да и явно избыточна подобная система для _локальных_ дисков.

Локальный понятие относительное. Когда я писал "чур локально, без Samba/NFS" речь как раз о том, чтобы не было _маппинга_, чтобы ФС умела это держать. И как может ФС такое без маппинга в NT ACL или хотя бы NFSv4 ACL?

> Причем никакими разумными средствами распространить права доступа на два несвязанных компьютера или синхронизировать sidы без общего (!) AD ты не можешь.

SID локального пользователя кодирует в себе идентификатор компьютера.

Во-первых, это не баг, а фича. Таковы дескрипторы безопасности венды. Сделано специально, чтобы при подключении диска к другому компьютеру идентификаторы не совпали. То есть то что ты считаешь фичей unix - просто историческая недоработка из прошлого. С тем же успехом можно просто локального пользователя выдать. Это разумнее. А если тебе не нравится что нужно вводить другой логин и пароль для доступа администратора к шаре, несмотря на то что он вошел в систему, ну дружок, для этого и придуман NTLM. Технология, кстати из той же эпохи, что и юниксовские дескрипторы безопасности.

Во-вторых, это не совсем правда, не обязательно AD. Потому что сто лет как есть MicrosoftAccount\username@email.com
LiveId это разумный метод для 2-х компов и ноута, но не в корпоративной среде.

В-третьих ты не ограничен LiveID. Ты можешь заменить ее на свой сервис. Тебе нужно просто связать локального пользователя компьютера 1 с внешним пользователем системы, под управлением которой находится компьютер 2 с одной стороны. И зарегистрировать устройство как доверенное в удаленной системе с другой стороны. И никакого тебе AD, так ты добавляешь "учетную запись работы и учёбы".
Если у тебя 2 системы, то это не обязательно 2 AD в трасте, опять же. Там может быть и федерация.

Но вот это всё далеко от темы с ФС... тут большинству народа такое не надо... Linux он не применяется в таких системах в виду ограниченности Linux в вопросах ACL и авторизации.