Пожалуй сам и отвечу.
Есть два варианта применить двухфакторную аутентификацию при помощи токенов JaCarta или аналогов:
1) Ставим ПО на компьютер, на котором будет использоваться токен, это ПО генерирует длинный пароль и присваивает его учетке в AD, а так же записывает его на токен. В итоге при логине на компьютер берется пароль с токена и передается в AD, если все ок, то вы получаете доступ к рабочему столу. Т.е. по сути механизм аутентификации не меняется, он остается парольным, только вам его не надо помнить.
2) В домене разворачивается центр сертификации, на нужных компьютерах задаем политику входа только по смарт-карте (токену) и генерируем сертификаты для нужных пользователей, записывая их на токен. В итоге на выбранных компьютерах невозможно авторизоваться по логину/паролю, а сделать это можно только по смарт-карте (токену).