certo che con un server win 2000 , nel quale c'è l'evidente presenza di IIS non puoi pretendere alcuna sicurezza.
Ad ogni modo, tu devi provare che è stato lui a registrare quegli utenti, e per fare questo devi controllare gli ip nei file LOG.
Purtroppo trattandosi di WINDOWS (OS che ho studiato e visto praticamente quest'anno per la prima volta causa lavoro)non sono di sicuro il piu competente e lascio che ti aiuti qualcun altro .

Saluti.
Piergiorgio.