Você poderia fazer isso ao contrário, quando o supervisor desbloqueia a máquina e, em seguida, permite que o usuário faça o login. Eu não acho que o login do Windows tenha suporte para facilitar a autenticação de dois fatores. O que você pode fazer é criptografar o disco rígido usando algo como truecrypt . Quando o sistema inicializa, ele pedirá uma senha que o supervisor saiba, e então inicializará no Windows e permitirá que o usuário final faça logon normalmente.
A desvantagem desta solução é que a máquina teria que ser desligada após o término do usuário ou eles poderiam fazer o login novamente sem a aprovação do supervisor. Isso pode ser corrigido com uma tarefa agendada para o meio da noite.
Espero que ajude