He estado mirando el manual, y creo que sé por qué encuentras ese comportamiento.

Una regla http_access aplica solamente si todas las ACL se cumplen (se hace un AND).

Cuando pones "becario !groc" lo que estás diciendo es que se da acceso (se aplica la regla) si el host es "becario" y el dominio no es "groc". Hasta ahí, correcto.

Si el dominio es "groc", la regla no se aplica, porque !groc es falso y entonces (becario AND !groc) es falso. Lo que tú buscabas es que se aplique también el complemento de la regla (si no está permitido, está denegado), pero no es así como funciona, al parecer. Finalmente al host se le permite el acceso porque aplica la regla siguiente.

Espero haberme explicado bien, la descripción del comportamiento está en http://wiki.squid-cache.org/SquidFaq/SquidAcl