Тестировал двухфакторную авторизацию и насколько я помню, там просто добавляется дополнительный способ авторизации по смарт-картам. Т.е. логин и пароль будет по-прежнему работать, если он специально не отключен в настройках ГПО (но это не точно).
Если есть денек свободного времени - это легко проверить на виртуалках - я там подобное специально проверяю перед внедрением в инфраструктуру. Очень удобно.