Пожалуй сам и отвечу.
Есть два варианта применить двухфакторную аутентификацию при помощи токенов JaCarta или аналогов:
1) Ставим ПО на компьютер, на котором будет использоваться токен, это ПО генерирует длинный пароль и присваивает его учетке в AD, а так же записывает его на токен. В итоге при логине на компьютер берется пароль с токена и передается в AD, если все ок, то вы получаете доступ к рабочему столу. Т.е. по сути механизм аутентификации не меняется, он остается парольным, только вам его не надо помнить.
2) В домене разворачивается центр сертификации, на нужных компьютерах задаем политику входа только по смарт-карте (токену) и генерируем сертификаты для нужных пользователей, записывая их на токен. В итоге на выбранных компьютерах невозможно авторизоваться по логину/паролю, а сделать это можно только по смарт-карте (токену).

В общем вот что в итоге удалось найти:
www.browsecontrol.com
www.stopprocrastinatingapp.com
focusme.co

Но сам я в итоге остановился на https://code.google.com/p/pomodairo/ он не блокирует приложения, но всем остальным подходит!

Я использую скрипт на PS, который каждый день перебирает пользователей из AD и смотрит, нет ли у кого завтра ДР. Если такие пользователи есть, то делается автоматическая рассылка, что у такого-то человека завтра днюха.