Двухфакторная аутентификация средствами Windows AD
 

Есть у нас несколько компов на которые можно логиниться только "избранным". Логично пораскинув мозгами по асфальту решили для этих компов замутить двухфакторную аутентификацию. Внимательно изучил вот эту статью (она по 2008r2 но существенных отличий в настройке я не заметил), и понял что это, таки, не то.
Нужно чтобы пользователь втыкал usb-ключ (или смарт-карту в ридер) и вводил логин/пароль, а статья предлагает или, да к тому же только для конкретного пользователя, тогда как нужно блочить именно комп. Варианты с использованием дополнительного софта начальство не приемлет, приходится работать только с тем чем есть в виндах своего.
Собственно что интересует:
1. Возможно ли сие сотворить средствами Windows
2. Где об этом можно подробно почитать (если будет будет руководство по установке или какое-нибудь "best practice" - вообще шикарно)

Вообще, в свойствах пользователя Active Directory в закладке Account есть настройка Log On To.

Denis Dyagilev, добрый вариант, но, к сожалению, не подходящий.
Проблема решена, но не так как хотелось: удалось таки уломать начальство на дополнительный софт.