[SkyF]

в 2000-м необходимо выставить активизировать для соответствующих политик (например доменных) политику аудита событий регистрации.
примерно так (на контроллере домена соответственно):
Adm Tools-Domain Security Policy-Local Policies-Audit Policy
(Думаю подойдёт Audit logon events  выставить в Failure).

После чего в Event Viever->Security - будут регистрироваться события выбранного аудита.

Более подробно об аудите безопасности смотри тут
[ http://www.osp.ru/win2000/2001/06/034_print.htm ]