Ich habe jetzt eine unschöne Lösung gefunden, die aber funktioniert.
Ich habe die Authentifizierten Benutzer bei beiden GPO's wieder hinzugefügt & unter Delegierung der jeweils anderen Gruppe die Gruppenrichtlinie verweigert.
Also:
GPO1 -> Sicherheitsfilterung: Authentifizierte Benutzer + Group1 -> Delegierung: Group2 hinzugefügt, aber explizit die Gruppenrichtlinie verweigert
GPO2 -> Sicherheitsfilterung: Authentifizierte Benutzer + Group2 -> Delegierung: Group1 hinzugefügt, aber explizit die Gruppenrichtlinie verweigert
Einmal abmelden & frisch anmelden.... -> Alles wie erwünscht
DANKE - Falls jemand auch mal so ein Problem haben sollte...