Não existe tal distinção. Seu uso dos termos "ACEs do sistema" vs. "ACEs de domínio" é enganoso.
Uma ACE é um elemento em uma ACL. Uma ACL pode ter muitas ACEs, e essas ACEs podem se aplicar a curadores de várias autoridades diferentes, seja uma conta de usuário local ou uma entidade de segurança desse domínio do Active Directory ou uma entidade de segurança de outro domínio. A mesma ACL pode até conter uma mistura de entidades de segurança das autoridades mencionadas acima, mas isso ainda nunca altera a "terminologia" ou o nome usado. É apenas uma ACL.
Existem dois tipos de ACLs na maioria dos tipos de objetos no Windows:
-
Lista de controle de acesso discricionária (DACL.) Isso é o que as pessoas pensam quando pensam em ACLs, geralmente.
-
Lista de controle de acesso ao sistema (SACL.) Esse tipo de ACL informa ao Windows quais tipos de operações pelos quais os usuários devem estar conectados ao log de eventos de segurança. É usado para auditar tentativas de acesso, etc.
É isso. Isso é tudo que existe. Nenhum nome especial para "local vs. domínio".