Nimm für sowas SetACL (oder das mittlerweile ebenfalls kostenlose SetACL Studio mit GUI). Das erlaubt den Im- und Export der ACLs auch in Form eines SID, ist also unabhängig davon, ob selbiger in einen Nutzer-/Domainnamen aufgelöst werden kann oder nicht.

Die nötigen Parameter zusammenzusuchen ist zwar erstmal eine Menge Arbeit, aber wenn man das einmal hat, weiß man das Programm wirklich zu schätzen.

Grüße
Dalai