Du kannst alles selber basteln, dann fängst Du mit GetFileSecurity, ConvertSecurityDescriptorToString, ConvertSidToStringSid, LookupAccountName etc. an.

Eher würde ich aber die JWSCL empfehlen, die JwsclDescriptor.pas etwa sollte das Händling von Security-Deskriptoren vereinfachen, und die JwsclSid.pas den Umgang mit den User-SIDs. Darin müsstest Du halt jeweils die Rechte der bekannten alten User-IDs in die neuen Äquivalente ändern.