> ну как то есть не связанные?ну вот как-то так. Внутреннее устройство на котором могут храниться конфиденциальные данные и установлена ОС и внешнее устройство для физической передачи данных имеют разные требования безопасности.
> я не дам. Вполне надежная гарантия - в этих вот рамках, то есть замки от сравнительно честных людей, а нечестные просто по голове дадут и диск отнимут
Воооот! Получается, что это как раз Admin Consent. Его наличие и отсутствие, и защита от нежелательного сетевого подключения вместо проверки авторизации. Мы говорим на разных языках, на самом деле. ACL не защищают от физических краж и локальных переключений дисков между компьютерами. Они разрешают или запрещают доступ аутентифицированным пользователям. В случае с маппингом аутентификации нет со всеми вытекающими последствиями. Почему? Потому что я уже писал об этом выше.
> устройство - заметим, диск, а не компьютер где-то в сети
нет не заметим. Вы по-прежнему смешиваете 2 разные задачи. Диск является устройством только если он переносной. Если он лакальный, шара или что угодно иное, то устройством является компьютер.
> То есть я ничего не имею против дополнительной фичи с acl, но мне категорически не нравится когда она создает лишние грабли в том месте, где нахрен не уперлась.
Времена изменились. Если раньше корпоративные ACL с наследованиями, условиями и правилами deny были частью мира кровавого ентерпрайза, то сейчас они пришли всюду, потому что облака адаптируют и реализовывают сложные модели прав. И нет, не потому что эти облака делают крупные ентерпрайзники и им это привычно. Вспомните с чего начался OAuth и чем он является OAuth2 сейчас. Возврата в прошлое не будет.
Несмотря на любые ACL вы всегда можете выдать локальных пользователей везде и всюду, чтобы решить проблему с требованием отношения доверия между устройствами. Это никогда не создавало лишних граблей. Или в чем там проблема?