Tja, so trivial ist die Erstellung nicht, es sei denn man kann auf Windows 2000 aufwärts aufbauen. In letzterem Fall gibt es die SDDL (Security Descriptor Definition Language). Ansonsten mußt du quasi manuell den SD (Security Descriptor) basteln. Der besteht aus der SID (Security ID) des Eigentümers, dem SACL und dem DACL und, ich glaube, noch aus der SID der sog. (Primär-)Gruppe (für die Posix-Kompatibilität).

Um einen SD aufzubauen und alles was enthalten ist, gibt es eine ganze Litanei and Funktionen, die erst ab Windows 2000 stabil benutzbar ist, wo wiederum die SDDL die bessere Lösung wäre. Unter anderem gibt es folgende Funktionen:

GetSecurityDescriptorControl, GetSecurityDescriptorDacl, GetSecurityDescriptorGroup, GetSecurityDescriptorLength, GetSecurityDescriptorOwner, GetSecurityDescriptorSacl, IsValidSecurityDescriptor, SECURITY_DESCRIPTOR, SetSecurityDescriptorDacl, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, SetSecurityDescriptorSacl

Es gibt kommerzielle Komponenten um die Arbeit mit SDs, ACLs usw. zu vereinfachen, freie sind mir nicht bekannt.
Ansonsten suche mal in der DP nach den Namen der Funktionen. Ich bin mir ziemlich sicher, daß unlängst ein Beispiel gepostet wurde, wo die Funktionen in Aktion waren. Ich denke von sakura. Ich werde selber nochmal suchen, ansonsten schreibe ihm mal eine PN. Kann mich aber auch täuschen.