Eu não testei isso, então perdoe minha postagem preventiva (mas eu não tenho um domínio de teste e não planejo testar isso em produção), mas talvez você esteja procurando por SUBINACL. Faça o download aqui
subinacl.exe / help / cleandeletedsidsfrom fornece o seguinte:
/cleandeletedsidsfrom=domain[=dacl|sacl|owner|primarygroup|all]
delete all ACEs containing deleted (no valid) Sids from DomainName
You can specify which part of the security descriptor will be scanned
(default=all)
If the owner is deleted, new owner will be the Administrators group.
If the primary group is deleted, new primary group will be the Users group.
Aparece que você pode usar isso com o / samobject para aplicar a usuários ou grupos.