Есть Active Directory (W2k12 Server), в нем есть некая OU'шка, в ней лежит 2 группы GroupA и GroupB. Можно ли сделать так, чтобы AD позволяла включить пользователя либо в GroupA, либо в GroupB, но не давала включить одновременно и в GroupA и в GroupB?

Roman Mejtesну значит у вас архитектура неправильно построена. Как уже сказали принцип аддативности подразумевает предоставление прав, а не их ограничение.
если всё сделано нормально то групп с запрещающими правами просто не будет.
если наплодить 100500 групп с разрешениями и запретами, то при наличии >1000 сотрудников и >1000 папок обеспечивать какую то безопасность в шарах станет ровна 0, а раздача прав в полную жопу.
смысл групп в том, чтоб выдавать права, а не ограничивать, если вам приходится ограничивать права, значит нужно создать группу которая предоставляет прав меньше чем старая и добавить в неё пользователя, предварительно удалив его из группы с более широким доступом.
ок, как будете поступать в случае, если нужен временный запрет доступа? например, на период отпуска сотрудник должен ограничиваться в правах? каждый раз исключать из основной группы, включать в промежуточную группу с урезанными правами, а потом наоборот?

Basil A. SidorovСмысл в том, что костылять надо админу при раздаче прав, а не пользователю в логон-скрипте.
смысл сабжевого вопроса, чтобы техническими средствами исключить возможность ошибки админа