一．服务器安全加固的重要性

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

二．我们通过一下几个方面对您的系统进行安全加固：

1．系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2． IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3．系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

三．系统的安全加固：

1．目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

1．6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。

2．组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators；

启用不允许匿名访问SAM帐号和共享；

启用不允许为网络验证存储凭据或Passport；

从文件共享中删除允许匿名登录的DFS$和COMCFG；

启用交互登录：不显示上次的用户名；

启用在下一次密码变更时不存储LANMAN哈希值；

禁止IIS匿名用户在本地登录；

3.本地安全策略设置:

开始菜单—>管理工具—>本地安全策略

　　A、本地策略——>审核策略

　　审核策略更改　　　成功　失败　　

　　审核登录事件　　　成功　失败

　　审核对象访问　　　　　　失败

　　审核过程跟踪　　　无审核

　　审核目录服务访问　　　　失败

　　审核特权使用　　　　　　失败

　　审核系统事件　　　成功　失败

　　审核账户登录事件　成功　失败

　　审核账户管理　　　成功　失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

　　B、本地策略——>用户权限分配

　　关闭系统：只有Administrators组、其它全部删除。

　　通过终端服务拒绝登陆：加入Guests、User组

　　通过终端服务允许登陆：只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　交互式登陆：不显示上次的用户名　　　　　　　启用

　　网络访问：不允许SAM帐户和共享的匿名枚举　　启用

　　网络访问：不允许为网络身份验证储存凭证　　　启用

　　网络访问：可匿名访问的共享　　　　　　　　　全部删除

　　网络访问：可匿名访问的命　　　　　　　　　　全部删除

　　网络访问：可远程访问的注册表路径　　　　　　全部删除

　　网络访问：可远程访问的注册表路径和子路径　　全部删除

　　帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户

　　帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

4．本地账户策略：

在账户策略->密码策略中设定：

密码复杂性要求启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定：

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

5. 修改注册表配置：

5.1 通过更改注册表

local_machine\system\currentcontrolset\control\lsa-restrictanonymous = 1来禁止139空连接

5.2 修改数据包的生存时间(ttl)值

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)

5.3 防止syn洪水攻击

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

synattackprotect reg_dword 0x2(默认值为0x0)

5.4禁止响应icmp路由通告报文

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\interfaces\interface

performrouterdiscovery reg_dword 0x0(默认值为0x2)

5.5防止icmp重定向报文的攻击

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

enableicmpredirects reg_dword 0x0(默认值为0x1)

5.6不支持igmp协议

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

5.7修改3389默认端口:

运行 Regedt32 并转到此项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp, 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了

igmplevel reg_dword 0x0(默认值为0x2)

5.8 设置arp缓存老化时间设置

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)

arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)

5.9禁止死网关监测技术

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

enabledeadgwdetect reg_dword 0x0(默认值为ox1)

5.10 不支持路由功能

hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

ipenablerouter reg_dword 0x0(默认值为0x0)

6. 禁用服务：

·Application Experience Lookup Service

·Automatic Updates

·BITS

·Computer Browser

·DHCP Client

·Error Reporting Service

·Help and Support

·Network Location Awareness

·Print Spooler

·Remote Registry

·Secondary Logon

·Server

·Smartcard

·TCP/IP NetBIOS Helper

·Workstation

·Windows Audio

·Windows Time

·Wireless Configuration

7．解除NetBios与TCP/IP协议的绑定

控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

8. 使用tcp/ip筛选

在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80）

9．禁止WebDAV

在注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters

加以下注册表值：

数值名称：DisableWebDAV

数据类型：DWORD

数值数据：1

四． iis 加固方案：

1. 仅安装必要的 iis 组件。（禁用不需要的如ftp 和 smtp 服务）

2. 仅启用必要的服务和 web service 扩展，推荐配置:

ui 中的组件名称

设置

设置逻辑

后台智能传输服务 (bits) 服务器扩展

启用

bits 是 windows updates 和"自动更新"所使用的后台文件传输机制。如果使用 windows updates 或"自动更新"在 iis 服务器中自动应用 service pack 和热修补程序，则必须有该组件。

公用文件

启用

iis 需要这些文件，一定要在 iis 服务器中启用它们。

文件传输协议 (ftp) 服务

禁用

允许 iis 服务器提供 ftp 服务。专用 iis 服务器不需要该服务。

frontpage 2002 server extensions

禁用

为管理和发布 web 站点提供 frontpage 支持。如果没有使用 frontpage 扩展的 web 站点，请在专用 iis 服务器中禁用该组件。

internet 信息服务管理器

启用

iis 的管理界面。

internet 打印

禁用

提供基于 web 的打印机管理，允许通过 http 共享打印机。专用 iis 服务器不需要该组件。

nntp 服务

禁用

在 internet 中分发、查询、检索和投递 usenet 新闻文章。专用 iis 服务器不需要该组件。

smtp 服务

禁用

支持传输电子邮件。专用 iis 服务器不需要该组件。

万维网服务

启用

为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件。

万维网服务子组件

ui 中的组件名称

安装选项

设置逻辑

active server page

启用

提供 asp 支持。如果 iis 服务器中的 web 站点和应用程序都不使用 asp，请禁用该组件；或使用 web 服务扩展禁用它。

internet 数据连接器

禁用

通过扩展名为 .idc 的文件提供动态内容支持。如果 iis 服务器中的 web 站点和应用程序都不包括 .idc 扩展文件，请禁用该组件；或使用 web 服务扩展禁用它。

远程管理 (html)

禁用

提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该功能。

远程桌面 web 连接

禁用

包括了管理终端服务客户端连接的 microsoft activex? 控件和范例页面。改用 iis 管理器可使管理更容易，并减少了 iis 服务器的攻击面。专用 iis 服务器不需要该组件。

服务器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服务器中运行的 web 站点和应用程序都不使用上述扩展的包括文件，请禁用该组件。

webdav

禁用

webdav 扩展了 http/1.1 协议，允许客户端发布、锁定和管理 web 中的资源。专用 iis 服务器禁用该组件；或使用 web 服务扩展禁用该组件。

万维网服务

启用

为客户端提供 web 服务、静态和动态内容。专用 iis 服务器需要该组件

3. 将iis目录&数据与系统磁盘分开，保存在专用磁盘空间内。

4. 在iis管理器中删除必须之外的任何没有用到的映射（保留asp等必要映射即可）

5. 在iis中将http404 object not found出错页面通过url重定向到一个定制htm文件

6. web站点权限设定（建议）

web 站点权限：

授予的权限：

读

允许

写

不允许

脚本源访问

不允许

目录浏览

建议关闭

日志访问

建议关闭

索引资源

建议关闭

执行

推荐选择 "仅限于脚本"

7. 建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为full control）。

8. 程序安全:

1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在asp文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;

2) 需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

防止asp主页.inc文件泄露问题;

4) 防止ue等编辑器生成some.asp.bak文件泄露问题。

安全更新

应用所需的所有 service pack 和定期手动更新补丁。

安装和配置防病毒保护

推荐nav 8.1以上版本病毒防火墙（配置为至少每周自动升级一次）。

安装和配置防火墙保护

推荐最新版blackice server protection防火墙（配置简单，比较实用）

监视解决方案

根据要求安装和配置 mom代理或类似的监视解决方案。

加强数据备份

web数据定时做备份，保证在出现问题后可以恢复到最近的状态。

9. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。

在“Internet 服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

保护日志安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

修改IIS日志的存放路径

默认情况下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在 “Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

五。 sql服务器安全加固

安装最新的mdac（http://www.microsoft.com/data/download.htm）

5.1 密码策略

由于sql server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的sql语句：

use master

select name,password from syslogins where password is null

5.2 数据库日志的记录

核数据库登录事件的"失败和成功"，在实例属性中选择"安全性"，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程

xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个sql语句：

use master

sp_dropextendedproc ’xp_cmdshell’

注：如果你需要这个存储过程，请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

ole自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下（不需要可以全部去掉：

sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty

sp_oamethod sp_oasetproperty sp_oastop

去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：

xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues

xp_regread xp_regremovemultistring xp_regwrite

5.4 防tcp/ip端口探测

在实例属性中选择tcp/ip协议的属性。选择隐藏 sql server 实例。

请在上一步配置的基础上，更改原默认的1433端口。

在ipsec过滤拒绝掉1434端口的udp通讯，可以尽可能地隐藏你的sql server。

对网络连接进行ip限制

使用操作系统自己的ipsec可以实现ip数据包的安全性。请对ip连接进行限制，保证只有自己的ip能够访问，拒绝其他ip进行的端口连接。

通过以上的配置，禁止了服务器开放不必要的端口，防止服务被植入后门程序，通过配置目录权限可以防止入侵者拿到welshell后提权，加强了服务器的安全性，避免了对服务器的攻击和加强了TCP协议栈。通过iis的配置提高了iis的安全性和稳定性。修改了sql server的默认端口，可以防止恶意用户对服务器进行扫描尝试暴力破解sa账户提供数据库的安全性。对服务器实现了整体的安全加固。

转自：http://www.4fang.net/article/2010/6/9/95491_1.html

在SQL SERVER中，你可能需要获得当前日期和计算一些其他的日期，例如，你的程序可能需要判断一个月的第一天或者最后一天。你们大部分人大概都知道怎样把日期进行分割（年、月、日等），然后仅仅用分割出来的年、月、日等放在几个函数中计算出自己所需要的日期！在这篇文章里，我将告诉你如何使用DATEADD和DATEDIFF函数来计算出在你的程序中可能你要用到的一些不同日期。  
在使用本文中的例子之前，你必须注意以下的问题。大部分可能不是所有例子在不同的机器上执行的结果可能不一样，这完全由哪一天是一个星期的第一天这个设置决定。第一天（DATEFIRST）设定决定了你的系统使用哪一天作为一周的第一天。所有以下的例子都是以星期天作为一周的第一天来建立，也就是第一天设置为7。假如你的第一天设置不一样，你可能需要调整这些例子，使它和不同的第一天设置相符合。你可以通过@@DATEFIRST函数来检查第一天设置。  
 
       为了理解这些例子，我们先复习一下DATEDIFF和DATEADD函数。DATEDIFF函数计算两个日期之间的小时、天、周、月、年等时间间隔总数。DATEADD函数计算一个日期通过给时间间隔加减来获得一个新的日期。要了解更多的DATEDIFF和DATEADD函数以及时间间隔可以阅读微软联机帮助。  
 
       使用DATEDIFF和DATEADD函数来计算日期，和本来从当前日期转换到你需要的日期的考虑方法有点不同。你必须从时间间隔这个方面来考虑。比如，从当前日期到你要得到的日期之间有多少时间间隔，或者，从今天到某一天（比如1900-1-1）之间有多少时间间隔，等等。理解怎样着眼于时间间隔有助于你轻松的理解我的不同的日期计算例子。  
 
一个月的第一天  
 
       第一个例子，我将告诉你如何从当前日期去这个月的最后一天。请注意：这个例子以及这篇文章中的其他例子都将只使用DATEDIFF和DATEADD函数来计算我们想要的日期。每一个例子都将通过计算但前的时间间隔，然后进行加减来得到想要计算的日期。  
 
       这是计算一个月第一天的SQL  脚本：  
       SELECT  DATEADD(mm,  DATEDIFF(mm,0,getdate()),  0)  
 
       我们把这个语句分开来看看它是如何工作的。最核心的函数是getdate()，大部分人都知道这个是返回当前的日期和时间的函数。下一个执行的函数DATEDIFF(mm,0,getdate())是计算当前日期和"1900-01-01  00:00:00.000"这个日期之间的月数。记住：时期和时间变量和毫秒一样是从"1900-01-01  00:00:00.000"开始计算的。这就是为什么你可以在DATEDIFF函数中指定第一个时间表达式为"0"。下一个函数是DATEADD，增加当前日期到"1900-01-01"的月数。通过增加预定义的日期"1900-01-01"和当前日期的月数，我们可以获得这个月的第一天。另外，计算出来的日期的时间部分将会是"00:00:00.000"。  
 
       这个计算的技巧是先计算当前日期到"1900-01-01"的时间间隔数，然后把它加到"1900-01-01"上来获得特殊的日期，这个技巧可以用来计算很多不同的日期。下一个例子也是用这个技巧从当前日期来产生不同的日期。   
   
本周的星期一  
 
       这里我是用周(wk)的时间间隔来计算哪一天是本周的星期一。  
 
       SELECT  DATEADD(wk,  DATEDIFF(wk,0,getdate()),  0)  
 
一年的第一天  
 
       现在用年(yy)的时间间隔来显示这一年的第一天。  
 
       SELECT  DATEADD(yy,  DATEDIFF(yy,0,getdate()),  0)  
 
季度的第一天  
 
       假如你要计算这个季度的第一天，这个例子告诉你该如何做。  
 
       SELECT  DATEADD(qq,  DATEDIFF(qq,0,getdate()),  0)  
 
当天的半夜  
 
       曾经需要通过getdate()函数为了返回时间值截掉时间部分，就会考虑到当前日期是不是在半夜。假如这样，这个例子使用DATEDIFF和DATEADD函数来获得半夜的时间点。  
 
       SELECT  DATEADD(dd,  DATEDIFF(dd,0,getdate()),  0)  
 
深入DATEDIFF和DATEADD函数计算  
 
       你可以明白，通过使用简单的DATEDIFF和DATEADD函数计算，你可以发现很多不同的可能有意义的日期。  
 
       目前为止的所有例子只是仅仅计算当前的时间和"1900-01-01"之间的时间间隔数量，然后把它加到"1900-01-01"的时间间隔上来计算出日期。假定你修改时间间隔的数量，或者使用不同的时间间隔来调用DATEADD函数，或者减去时间间隔而不是增加，那么通过这些小的调整你可以发现和多不同的日期。  
 
       这里有四个例子使用另外一个DATEADD函数来计算最后一天来分别替换DATEADD函数前后两个时间间隔。  
 
上个月的最后一天  
 
       这是一个计算上个月最后一天的例子。它通过从一个月的最后一天这个例子上减去3毫秒来获得。有一点要记住，在Sql  Server中时间是精确到3毫秒。这就是为什么我需要减去3毫秒来获得我要的日期和时间。  
 
       SELECT  dateadd(ms,-3,DATEADD(mm,  DATEDIFF(mm,0,getdate()),  0))  
 
       计算出来的日期的时间部分包含了一个Sql  Server可以记录的一天的最后时刻("23:59:59:997")的时间。  
 
去年的最后一天  
 
       连接上面的例子，为了要得到去年的最后一天，你需要在今年的第一天上减去3毫秒。  
 
       SELECT  dateadd(ms,-3,DATEADD(yy,  DATEDIFF(yy,0,getdate()),  0))  
 
本月的最后一天  
 
       现在，为了获得本月的最后一天，我需要稍微修改一下获得上个月的最后一天的语句。修改需要给用DATEDIFF比较当前日期和"1900-01-01"返回的时间间隔上加1。通过加1个月，我计算出下个月的第一天，然后减去3毫秒，这样就计算出了这个月的最后一天。这是计算本月最后一天的SQL脚本。  
 
       SELECT  dateadd(ms,-3,DATEADD(mm,  DATEDIFF(m,0,getdate())+1,  0))  
 
本年的最后一天  
 
       你现在应该掌握这个的做法，这是计算本年最后一天脚本  
 
       SELECT  dateadd(ms,-3,DATEADD(yy,  DATEDIFF(yy,0,getdate())+1,  0))。  
 
本月的第一个星期一  
 
       好了，现在是最后一个例子。这里我要计算这个月的第一个星期一。这是计算的脚本。  
 
         select  DATEADD(wk,  DATEDIFF(wk,0,                                                          
                               dateadd(dd,6-datepart(day,getdate()),getdate())        
                                                                                                 ),  0)                          
 
       在这个例子里，我使用了"本周的星期一"的脚本，并作了一点点修改。修改的部分是把原来脚本中"getdate()"部分替换成计算本月的第6天，在计算中用本月的第6天来替换当前日期使得计算可以获得这个月的第一个星期一。  
 
总结  
 
       我希望这些例子可以在你用DATEADD和DATEDIFF函数计算日期时给你一点启发。通过使用这个计算日期的时间间隔的数学方法，我发现为了显示两个日期之间间隔的有用历法是有价值的。注意，这只是计算出这些日期的一种方法。要牢记，还有很多方法可以得到相同的计算结果。假如你有其他的方法，那很不错，要是你没有，我希望这些例子可以给你一些启发，当你要用DATEADD和DATEDIFF函数计算你程序可能要用到的日期时。  
 
---------------------------------------------------------------  
附录，其他日期处理方法  
 
1)去掉时分秒  
declare  @  datetime  
set  @  =  getdate()  --'2003-7-1  10:00:00'  
SELECT  @,DATEADD(day,  DATEDIFF(day,0,@),  0)  
 
2）显示星期几  
select  datename(weekday,getdate())    
 
3）如何取得某个月的天数  
declare  @m  int  
set  @m=2  --月份  
select    datediff(day,'2003-'+cast(@m  as  varchar)+'-15'  ,'2003-'+cast(@m+1    as  varchar)+'-15')  
另外，取得本月天数  
select    datediff(day,cast(month(GetDate())  as  varchar)+'-'+cast(month(GetDate())  as  varchar)+'-15'  ,cast(month(GetDate())  as  varchar)+'-'+cast(month(GetDate())+1    as  varchar)+'-15')  
或者使用计算本月的最后一天的脚本，然后用DAY函数区最后一天  
SELECT  Day(dateadd(ms,-3,DATEADD(mm,  DATEDIFF(m,0,getdate())+1,  0)))  
 
4）判断是否闰年：  
SELECT  case  day(dateadd(mm,  2,  dateadd(ms,-3,DATEADD(yy,  DATEDIFF(yy,0,getdate()),  0))))  when  28  then  '平年'  else  '闰年'  end  
或者  
select  case  datediff(day,datename(year,getdate())+'-02-01',dateadd(mm,1,datename(year,getdate())+'-02-01'))  
when  28  then  '平年'  else  '闰年'  end  
 
5）一个季度多少天  
declare  @m  tinyint,@time  smalldatetime  
select  @m=month(getdate())  
select  @m=case  when  @m  between  1  and  3  then  1  
                       when  @m  between  4  and  6  then  4  
                       when  @m  between  7  and  9  then  7  
                       else  10  end  
select  @time=datename(year,getdate())+'-'+convert(varchar(10),@m)+'-01'  
select  datediff(day,@time,dateadd(mm,3,@time))

转自：http://www.lvbaishun.com/Information/2009-07/0907202309007575.html

3.关于plainmaker.exe,在GSX安装目录下肯定有这个文件,我把这个文件传到了网上,请大家下载.有这个文件后
就可以在VMWare Workstation和GSX Server创建共享磁盘阵列.

下面我详细说一下在VMware中创建共享磁盘阵列的方法:
1.将plainmaker.exe考到第一个虚拟机的目录下,如"C:\vmwin2k1\Windows 2000 Professional"
执行以下命令将创建200M和2G的日志磁盘和共享磁盘:
plainmaker quorum.pln 200 
plainmaker shareddisk.pln 2000 

确认"C:\vmwin2k1\Windows 2000 Professional"目录下生成了四个quorum.pln,shareddisk.pln,quorum1.dat,shareddisk1.dat，分别打开 
quorum.pln，shareddisk.pln
确认ACCESS一行的目录为当前虚拟机的目录。 
如：Access "C:\vmwin2k1\Windows 2000 Professional\quorum1.dat" 
Access "C:\vmwin2k1\Windows 2000 Professional\shareddisk1.dat" 

2.在第一台虚拟机的"configuration Editor"中，添加创建的日志磁盘和共享磁盘：Add-HardDisk-use an exciting disk-brower-选中第一台虚拟机目录中quorum.pln,shareddisk.pln
 
打开第一台虚拟机目录中的vmx文件，在最后一行添加：
disk.locking="FALSE" 
scsi0.SharedBus="Virtual"

3.在第二台虚拟机的"configuration Editor"中，添加创建的日志磁盘和共享磁盘：Add-HardDisk-use an exciting disk-brower-选中第一台虚拟机目录中quorum.pln,shareddisk.pln
 
打开第二台虚拟机目录中的vmx文件，在最后一行添加：
disk.locking="FALSE" 
scsi0.SharedBus="Virtual"

第二步和第三步将创建的日志磁盘和共享磁盘做成了共享磁盘阵列(两台虚拟机同时使用第一台虚拟机目录中的quorum.pln,shareddisk.pln)

4.先打开第一台虚拟机,在打开第二台虚拟机,打开后,执行第一台虚拟机的"计算机管理-磁盘管理,
取消"欢迎使用写入签名和升级磁盘向导"-右击磁盘1-签名-签名后请对磁盘1和磁盘2进行分区格式化.

执行第二台虚拟机的"计算机管理-磁盘管理,
取消"欢迎使用写入签名和升级磁盘向导"-右击磁盘1-签名-签名后请对磁盘1和磁盘2进行分区格式化.

方法三：
直接取表格的显示值，这个应该算是比如好了的。经测试，拖动、分组、过滤等操作都不会影响取值。

for i:= 0 to AView.Controller.SelectedRowCount-1 do begin
   showmessage(AView.DataController.GetDisplayText(AView.Controller.SelectedRows[i].RecordIndex,AView.DataController.GetItemByFieldName('sMergeNo').Index));
end;

方法四：
https://www.devexpress.com/Support/Center/Question/Details/A302]]> http://blogger.org.cn/blog/more.asp?name=RandomRen&id=31241 RandomRen 2008/1/11 22:39:28

今天晚上写用户组管理,需要对树进行操作.主要是勾选状态的一致性比较难处理,在网上搜索了一下没结果,就自己动手写了一个.核心函数主要有三个,供大家参考,如果还有更好的算法,希望大家能交流.
注:我所用的是cxTreeView

    //所有子节点是否有处于选中状态
    function ChildChecked(TreeNode:TTreeNode):Boolean;
    //改变所有子节点状态
    procedure ChangeChildState(sParent:TTreeNode;StateIndex:Integer);
    //改变父节点状态
    procedure ChangeParentState(TreeNode:TTreeNode;StateIndex:Integer);

function TfrmRole.ChildChecked(TreeNode:TTreeNode):Boolean;
var
  I : Integer;
begin
  Result := False;
  for I := 0 to TreeNode.Count - 1 do
  begin
    if TreeNode[I].HasChildren then
    begin
      if  2 = TreeNode[I].StateIndex then
      begin
        Result := True;
        Exit;
      end;
      ChildChecked(TreeNode[I]);
    end
    else begin
      if  2 = TreeNode[I].StateIndex then
      begin
        Result := True;
        Exit;
      end;
    end;
  end;
end;

procedure TfrmRole.ChangeChildState(sParent: TTreeNode; StateIndex: Integer);
var
  I : Integer;
begin
  sParent.StateIndex := StateIndex;
  for I := 0 to sParent.Count - 1 do
  begin
    if sParent[I].HasChildren then
    begin
      sParent[I].StateIndex := StateIndex;
      ChangeChildState(sParent[I],StateIndex);
    end
    else
      sParent[I].StateIndex := StateIndex;
  end;
end;

procedure TfrmRole.ChangeParentState(TreeNode: TTreeNode; StateIndex: Integer);
var
  I : Integer;
begin
  if TreeNode.Parent = nil then
    Exit;
  //如果父节点是勾选状态,则要判断是否有其它节点是勾选状态,如果有,则退出,保持勾选
  if 2 = TreeNode.Parent.StateIndex then
  begin
    if ChildChecked(TreeNode.Parent) then
      Exit;
  end;
  TreeNode.Parent.StateIndex := StateIndex;
  ChangeParentState(TreeNode.Parent,StateIndex);
end;

这段代码也比较有用,这个是点中节点才改变状态,点树上的"+""-"不会触发.

procedure TfrmRole.cxTV_MenuMouseDown(Sender: TObject; Button: TMouseButton;
  Shift: TShiftState; X, Y: Integer);
var
  MyHitTest : THitTests;
  tn : TTreeNode;
begin
  inherited;
  MyHitTest := cxTV_Menu.GetHitTestInfoAt(X,Y);
  tn:=TcxTreeView(Sender).GetNodeAt(x,y);
  if tn=nil then
    Exit;
  if htOnItem in MyHitTest then
  begin
    if 1 = tn.StateIndex then
    begin
      ChangeChildState(tn,2);
      ChangeParentState(tn,2);
    end
    else
    begin
      ChangeChildState(tn,1);
      ChangeParentState(tn,1);
    end;
  end;
end;
效果:
1 全部不选择:

2 选计量单位:


3 选资信等级


4 取消选择计量单


5 只取消选择"计量单位修改"


稍候整理一下.把源码也上传上来.

发表者：framesniper
数据丢失个人感觉应该是硬件问题，不太可能是spcomm本身出现问题

发表者：jpyc
$11/$13是用于软件握手的，将xonxoff属性相关的关闭就可以了。与硬件无关。   

一、  参考资料
1、J2EE技术内幕(J2EE Unleashed)      机械工业出版社(SAMS)

二、  传统的应用开发模式
    传统的应用开发是围绕着事件驱动用户界面来组织应用结构。在该模式中，开发人员创建界面，然后在界面的事件中编写相应的动作。对于小型，业务清晰，而且不用重复进行功能、业务修改的应用系统来说，这种模式明显很合适，不但直观，而且方便，开发与运行效率也很高。但对于较大型系统或分布系统，则不一定合适。
  l、大多数复杂的应用需要以多种查看数据的方式来查看数据。直接在界面中编写代码导致在系统的多个模块中出现重复，业务的变更需要在多处进行修改。
  2、数据操作逻辑、格式化、显示代码同用户事件等代码混在一起时，应用的维护变得非常困难。如果经过一段时间后、或由外人修改代码时，情况可想而知。
  3、如果应用逻辑与界面混在一起时，用户界面或应用逻辑都不能被重用。
  4、增加、修改功能、界面都需要对代码进行多处的修改，而这样的修改被会非常困难。
  5、由于应用逻辑与界面依赖程度太高，造成在团体开发中，无法由多人来开发一个模块。

三、  MVC结构简述
    MVC结构即是：模型(Model)-视图(VIEW)-控制器(CONTROLOR)模式。模型代表了应用数据和操作这些数据的方法；视图向用户显示这些数据并接受用户的操作事件，然后转发给控制器；控制器负责解释用户的动作，并把操作发送给模型。然后模型更新视图，反映数据的变化。在模型中不应包含对输入数据格式的翻译工作，该翻译工作由控制器执行，而模型不应该负责判断如何显示结果。
    MVC结构中VC中很早就开始使用，在J2EE中得到进一步的推广与完善，现在已经是分布式系统中的一种必选模式了。可惜JinBo以前一直忙于项目，没有时间进行充电，在Delphi中分离应用逻辑与界面设计这方面走了不少弯路，最近才发现MVC结构就是我想要达到的目标，心里那个是恨啊。

四、  MVC结构的优缺点
优点：
  1、通过从数据显示和用户交互中分离出数据模型澄清的应用设计。
  2、允许使用多种方式观察相同数据。
  3、从表示部分分离出应用功能，增强重用性。
  4 、增加灵活性，因为数据模型、用户交互和数据显示可以是可拆装的。
  5、把应用系统的功能划分由模块变为对象，真正地进行面向对象的系统分析。
缺点：
  1、组件间不能实现代码共享，导致应用复杂程度上升，效率下降。(JinBo个人认为Java的运行效率低的其中一个原因就是强调面向对象。假如Java类库设计得跟MFC一样的话，肯定效率会上升很多)
  2、存在更多的通信量和其他潜在问题，开发人员必须小心处理。
  3、模型的设计要求更高，而控制器对模型的依赖很高，模型设计的不合理将导致控制器实现很困难。可以配合设计模式中的命令模式来改善这一点。

五、  个人的体会
    在Delphi这事件驱动的开发环境中，很自然地大部分开发人员直接以传统方式进行应用系统的开发。然后项目进行到一定的时间，需求变化了很多，回头一看，程序中有很多地方还是可重用，但是打算提取出来时却发现里面千丝万缕，界面、应用逻辑代码纠缠不清，把有用的地方切割出来还不如重新再写。于是项目的新版本只能重新开发了。这样的情况我相信做过一、两个项目的开发人员都会有比较大的体会。而使用MVC结构来将界面与应用逻辑分离将在一定程序上能解决这个问题。
    关于代码重用，个人的意见是在众多项目中做到代码重用还是非常困难的，但是在一个项目的多个版本中达到代码重用却是可行的，并且有相当大的实际意义，这也是我在Delphi中应用MVC结构的目的。

六、  在Delphi中的应用
    将Delphi系统中的一个功能或模块划分为视图(窗体)、控制器、模型等三个部分。视图直接面对用户，显示数据并接受用户的操作事件，视图中只包括视图本身的维护代码，如控件间的互动，状态的设定等。而视图中表示的数据定义为视图中的一个或多个属性。控制器负责对用户的事件进行响应，然后转发给模型，由模型进行实际的操作，即干拉皮条的活。模型是真正干活的主，包含全部的应用逻辑代码，直接操纵数据库如果需要的话。
    我所提到的应用方式中，实际上是将控制器作为一个入口，供其它类调用。而且作为视图与模型沟通的桥梁，视图与模型都先经过控制器的访问，它们使用的一些资源、类等都在控制器中定义。因此，控制器在这种方式中，可重用性是最低的。
    当然，如果功能太简单，比如AboutDailog等，就不必强求整个系统都以这种方式来构造，这时编码就足够了。对于不大不小的功能或模块，则可以根据实际的情况，将控制器与视图进行结合，而将模型分离来，这是因为应用逻辑相同与界面来说，需求变化的可能性更小，而应用逻辑需求变化后界面不变的可能性就更小了。这样模型同样还具备相当大的重用性。
    在具体应用中，将视图、控制器、模型做到完全相互独立，都具备用重用性，还是非常困难的。因此，建议将MVC三个组件都进行更高层次的抽象，把共性的部分提炼出来，然后将它们的父类作为用重用的类。如果业务没有那么复杂或提炼有困难，可以将不可重用的代码集中在视图或控制器，然后保证其他的组件具备一定的重用性。如果还是不行，那就算了吧，该怎么着就怎么着，不要勉强了，呵呵。

七、  实现的细节问题
1、  一般点击事件。
这里指的是一些简单的操作性质事件，如保存、删除等，直接由控制器转发由模型执行业务处理类即可
procedure TfrmExampleView.btnSaveClick(Sender: TObject);
begin
  ExampleCtrl.ExampleModel.Save;
end;

2、  设定界面控件的状态或属性。
将控件的状态或属性都定义为窗体的属性或方法，然后控制器可以通过设定属性或调用方法来达到设定界面控件状态的目的.

例：需在运行时设定窗体中的若干个控件为只读或可读写状态。则在该窗体中定义只读属性，并编写相关代码，然后控制器简单地设定该属性为TRUE或FALSE来达到目的。

视图中定义EditReadOnly属性，该属性决定了leName等多个控件的可读定状态
TfrmExampleView = class(TForm)
  tvExample: TTreeView;
  leName: TLabeledEdit;
  …
private
  …
  function GetReadOnly: boolean;
  procedure SetReadOnly(const Value: boolean);
public
  …
  property EditReadOnly : boolean read GetReadOnly write SetReadOnly;
end;

procedure TfrmExampleView.SetReadOnly(const Value: boolean);
begin
  leName.ReadOnly = Value;
  …
end;

function TfrmExampleView.GetReadOnly: boolean;
begin
  result := leName.ReadOnly;
end;
    然后在控制器中设定视图控件的状态就很简单了。
    frmExampleView.EditReadOnly := True;

3、  对视图数据的读取、更新。
    对视图进行数据读取、更新时，分为两种情况，一种数据量比较小，如对某个Edit的赋值，应该使用刚才的方式，在视图中增加一个属性，然后进行属性的设置。
  TfrmExampleView = class(TForm)
  public
   property UserName : string read GetUserName write SetUserName;
  end;

  function TfrmExampleView.GetUserName: string;
  begin
   result := Trim(leName.Text);
  end;

  procedure TfrmExampleView.SetUserName(const Value: string);
  begin
   leName.Text := Value;
  end;

  对于比较大量的数据更新，如TStringGrid、多个TEdit的赋值、取值，可以利用J2EE设计模式中值对象(即有多个属性的对象)，控制器将一个值对象传递给视图或模型，然后视图或模型自己对值对象进行操作。

  先定义一个值对象
  TUserValueObject = class
   private
   FUserName: string;
   FUserID: integer;
   FUserTel: string;
    …
   public
   property UserID : integer read FUserID write FUserID;
   property UserName : string read FUserName write FUserName;
   property UserTel : string read FUserTel write FUserTel;
    …
   end;

    在视图中定义一个值对象的属性
    TfrmExampleView = class(TForm)
     private
     function GetValues: TUserValueObject;
     procedure SetValues(const Value: TUserValueObject);
     public
     property Values : TUserValueObject read GetValues write SetValues;
     end;

    function TfrmExampleView.GetValues: TUserValueObject;
    begin
     result.UserName := Trim(leName.Text);
     result.UserTel := Trim(leTel.Text);
     …
    end;

    procedure TfrmExampleView.SetValues(const Value: TUserValueObject);
    begin
     leName.Text := Value.UserName
     leTel.Text := Value.UserTel;
     …
    end;

    在控制器中创建值对象
    TExampleCTRL = class
     private
     FExampleModel: TExampleModel;
     FfrmExampleView: TfrmExampleView;
     FUserValueObject: TUserValueObject;
     protected
     public
     constructor Create;
     destructor Destroy; override;

     property frmExampleView : TfrmExampleView read FfrmExampleView;
     property ExampleModel : TExampleModel read FExampleModel;

     property UserValueObject : TUserValueObject read FUserValueObject;
     end;

    constructor TExampleCTRL.Create;
    begin
     FfrmExampleView := TfrmExampleView.Create(nil);
     FExampleModel := TExampleModel.Create;
      //==创建值对象==
     FUserValueObject := TUserValueObject.Create;
    end;

    然后就可以进行访向了
    //==取值对象==
    UserValueObject := ExampleModel.Values;
    //==设定视图的值对象==
    frmExampleView.Values := UserValueObject;

4、  控件的事件。
  在应用系统的设计中，经常需要对用户的操作进行同步的数据更新或即时反应用户的操作。所以需要系统直接响应控件的事件，如TreeView中OnChange事件中对树节点变化的响应等。这种情况可以在控制器中建立对应的方法，响应事件并从模型中取出数据并更新到视图中，然后在初始化时将该事件指向处理方法。另一种方式就是定义一个更大的值对象或对象链表，然后扔过去给视图自己处理。

  constructor TExampleCTRL.Create;
  begin
   …
   frmExampleView.tvExample.OnChange := DoNodeChange;
  end;

  procedure TExampleCTRL.DoNodeChange(Sender: TObject; Node: TTreeNode);
  begin
   //==进行节点改变事件的处理==
  end;

该文章转载自网络大本营：http://www.xrss.cn/Dev/Delphi/20078815527.Html

　　Ctrl+Shift+↑ 光标在函数体内时，将光标快速移至当前函数声明处。
　　Ctrl+Shift+↓ 光标在函数声明行时，将光标快速移至函数定义处。
　　Ctrl+Shift+C 声明一个过程或函数后，直接生成过程或函数的名称、begin、end;
　　Ctrl+Shift+E 光标在Edit窗口和Explorer窗口间切换。
　　Ctrl+Shift+G 插入GUID。
　　Ctrl+Shift+J 弹出Delphi语句提示窗口，选择所需语句将自动完成一条语句。
　　Ctrl+Shift+T 在光标行加入To-Do注释。
　　Ctrl+Shift+Y 删除光标之后至本行末尾之间的文本。

　　Ctrl+F3 Call Stack窗口。
　　Ctrl+F4 等于File菜单中的Close项。

　　Ctrl+鼠标转轮 加速滚屏。

　　Shift+F8 调试时弹出CPU窗口。
　　Shift+F10 等于鼠标右键（Windows快捷键）。

　　Alt+F4 关闭所有编辑框中打开的源程序文件，但不关闭项目。

　　设置Code Insight 模板，begin...end,以后只要输入be，然后按ctrl+j就可以匹配begin,end;但是从begin到相应的end，就不知道了，匹配括号之类的可以用alt+[,Alt+]

　　搜索editor keyboard shortcuts可能可以找到，你自己看帮助吧。

　　在编程序时 unit 右键菜单的properties /Code Insight

　　设置你喜欢的任何东东

　　ctr+j即可。

　　DELPHI IDE中部分操作快捷方式(大部分在Delphi 5.0的菜单中找不到，其中有一些还是非常有用的)

　　1 代码模板：CTRL+J

　　2 代码整块移动：CTRL+SHIFT+I（右移） CTRL+SHIFT+U（左移）

　　3 选中窗体 ： 先选中任一控件，SHIFT+鼠标左键

　　4 将鼠标指向变量名、单元名、类名，再用 CTRL+鼠标左键 可找到相应的说明

　　5 在过程、函数、事件内部， SHIFT+CTRL+向上的方向键 可跳跃到相应的过程、函数、事件的定义

　　6 相反，在过程、函数、事件的定义处，SHIFT+CTRL+向下的方向键 可跳跃到具体过程、函数、事件内部

　7 CTRL+ SHIFT + C:编写申明或者补上函数

　　8 SHIFT+CTRL+E 显示 EXPLORER

　　9 Ctrl+ shift + n (n=1,2,3,4......)定义书签

　　10 Ctrl+ n (n=1,2,3,4......)跳到书签n

　　11 ALT+鼠标左键可以块选代码，删除对齐的重复代码非常有用

　　12 Ctrl+PageUp 将光标移至本屏的第一行，屏幕不滚动。

　　13 Ctrl+PageDown 将光标移至本屏的最后一行，屏幕不滚动。

　　14 Ctrl+↓ 向下滚动屏幕，光标跟随滚动不出本屏。

　　15 Ctrl+↑ 向上滚动屏幕，光标跟随滚动不出本屏。

　　16 Ctrl+Home 将光标移至文件头。

　　17 Ctrl+End 将光标移至文件尾。

　　18 Ctrl+B Buffer List窗口。

　　19 Ctrl+I 同Tab键。

　　20 Ctrl+M 同Enter键。

　　21 Ctrl+N 同Enter键，但光标位置保持不变。

　　22 Ctrl+T 删除光标右边的一个单词。

　　23 Ctrl+Y 删除光标所在行。

　　24 Ctrl+Shift+↑ 光标在函数体内时，将光标快速移至当前函数声明处。

　　25 Ctrl+Shift+↓ 光标在函数声明行时，将光标快速移至函数定义处。

　　26 Ctrl+Shift+C 声明一个过程或函数后，直接生成过程或函数的名称、begin、end;

　　27 Ctrl+Shift+E 光标在Edit窗口和Explorer窗口间切换。

　　28 Ctrl+Shift+G 插入GUID。

　　29 Ctrl+Shift+J 弹出Delphi语句提示窗口，选择所需语句将自动完成一条语句。

　　30 Ctrl+Shift+T 在光标行加入To-Do注释。

　　31 Ctrl+Shift+Y 删除光标之后至本行末尾之间的文本。

　　32 Ctrl+F3 Call Stack窗口。

　　33 Ctrl+F4 等于File菜单中的Close项。

　　34 Ctrl+鼠标转轮 加速滚屏。

　　35 Shift+F8 调试时弹出CPU窗口。

　　36 Shift+F10 等于鼠标右键（Windows快捷键）。

　　37 Alt+F4 关闭所有编辑框中打开的源程序文件，但不关闭项目。

delphi7的快捷键

1.SHIFT+鼠标左键 先选中任一控件,按键后可选中窗体(选中控件后按Esc效果一样)

2.Shift+F8 调试时弹出CPU窗口。

3.Shift+F10 等于鼠标右键（Windows快捷键）。

4.Shitf+箭头 选择

5.shift +F12 快速查找窗体并打开

6.F7 （步进式调试同时追踪进入子过程）

7.F8 （步进式调试不进入子过程）

8.F9 运行

9.F12 切换EDITOR,FORM

10.Alt+F4 关闭所有编辑框中打开的源程序文件，但不关闭项目

11.ALT+鼠标左键 可以块选代码，用来删除对齐的重复代码非常有用

12.Ctrl+F9 编译

13.Ctrl+shift+N(n=1,2,3,4......) 定义书签

14.Ctrl+n(n=1,2,3,4......)跳到书签n

15.CTRL +SHIFT+N 在书签N处，再按一次 取消书签

16.Ctrl+PageUp 将光标移至本屏的第一行，屏幕不滚动

17.Ctrl+PageDown 将光标移至本屏的最后一行，屏幕不滚动

18.Ctrl+↓ 向下滚动屏幕，光标跟随滚动不出本屏

19.Ctrl+↑ 向上滚动屏幕，光标跟随滚动不出本屏

20.Ctrl+Home 将光标移至文件头

21.Ctrl+End 将光标移至文件尾

22.Ctrl+B Buffer List窗口

23.Ctrl+I 同Tab键

24.CTRL+J (弹出Delphi语句提示窗口，选择所需语句将自动完成一条语句)代码模板

25.Ctrl+M 同Enter键。

26.Ctrl+N 同Enter键，但光标位置保持不变

27.Ctrl+T 删除光标右边的一个单词

28.Ctrl+Y 删除光标所在行

29.CTRL+C 复制

30.CTRL+V 粘贴

31.CTRL+X 剪切

32.CTRL+Z 还原(Undo)

33.CTRL+S 保存

34.Ctrl+F 查找

35.Ctrl+L 继续查找

36.Ctrl+r 替换

37.CTRL+ENTER 定位到单元文件

38.Ctrl+F3 弹出Call Stack窗口

39.Ctrl+F4 等于File菜单中的Close项

40.Ctrl+Backspace 后退删除一个词,直到遇到一个分割符

41.Ctrl+鼠标转轮 加速滚屏

42.Ctrl+O+U 切换选择块的大小写(注意松开O后再按U,Ctrl保持按下)

43.Ctrl+K+O 切换选择块为小写(注意松开K后再按O,Ctrl保持按下)

44.Ctrl+K+N 切换选择块为大写(注意松开K后再按N,Ctrl保持按下)

45.Ctrl+Shift+G 插入GUID

46.Ctrl+Shift+T 在光标行加入To-Do注释

47.Ctrl+Shift+Y 删除光标之后至本行末尾之间的文本

48.CTRL+SHIFT+C 编写申明或者补上函数，绝好!!!

49.CTRL+SHIFT+E 显示EXPLORER

50.Ctrl+Tab 在Inspector中切换Properties页和Events页

51.CTRL+SHIFT+U 代码整块左移2个空格位置

52.CTRL+SHIFT+I 代码整块右移2个空格位置

53.CTRL+SHIFT+↑ 在过程、函数、事件内部, 可跳跃到相应的过程、函数、事

件的定义（在interface和implementation之间来回切换）

54.CTRL+SHIFT+↓ 在过程、函数、事件的定义处， 可跳跃到具体过程、函数、事件内部(同上)

55.Tab 在object inspector窗口按tab键将光标移动到属性名区，然后键入属性名的开头

字母可快速定位到该属性

56.Ctrl+Alt 按着Ctrl+Alt之后，可用鼠标选择一个矩形块中的代码，

并可比它进行复制，粘贴

57.Shift+↓、↑、→、← 以1像素单位更改所选控件大小

58.Ctrl+↓、↑、→、←以1像素单位更改所选控件位置

59.Ctrl+E 快速选择（呵呵，试试吧，很好玩的）

---------GExperts中---------

60.Ctrl+Alt+c 注释块

61.Ctrl+Alt+u 取消注释块

62.Ctrl+Alt+h 生成头(更详细的设置在GExperts配置的Editor Experts属性页)

63.Ctrl+Alt+o 选择对应分隔符之间的语句

64.Ctrl+Alt+v 在对应的分隔符之间来回跳转(与已有快捷键有冲突，请更改)

--------------------------------------------------------------------------

65、将鼠标指向变量名、单元名、类名，再用 CTRL+鼠标左键 可找到相应的说明

66、CTRL+ SHIFT + C 编写申明或者补上函数.

如：

procedure TT.A(AA: string); //函数申明

安下：CTRL+ SHIFT + C后，会写上

procedure TT.A(AA: string);

begin

end;

67、ALT+鼠标左键可以块选代码，删除对齐的重复代码非常有用。

68、Ctrl+shift+G 产生一个GUID号

解决这个问题已知访问方式有：

1、匿名访问；在应用服务器（简称AP）启用guest，并且设置guest具有激活和访问COM+的权限。这条路是可行，不过安全性不能得到保证。

2、客户端电脑的登录用户和密码和AP上的一个用户一致，并且这个用户在AP上也具有相应的访问COM+的权限。这种方式要比第一种好一些，但是哪个单位的IT系统会是这种样子呢。肯定是每台机器都有自己的帐户密码。这个方式也不好。注：这种方式在不需要发布客户端软件到诺干多的机器上的时候也是可行的，比如访问COM+ 的是webServer.

3、在域管理的网络环境中，同样可以实现，但是有个问题，如果您的客户不愿意改造成域环境呢。所以这种方法也是有局限性的。

最后，我想到如果远程访问COM+的时候能够显式的给定用于AP验证权限的用户名和密码不是就可以解决这个问题了吗？事实上这个方式是可行的。不过在delphi7中还没有现成的函数可以达到这个目的。

comobj.pas 中有个函数 function CreateRemoteComObject(const MachineName: WideString;
  const ClassID: TGUID): IUnknown; 这个是用来创建远程的com+接口的。我要改造的主要是这个函数。

function CoCreateInstanceEx(const clsid: TCLSID; unkOuter: IUnknown; dwClsCtx: Longint; ServerInfo: PCoServerInfo; dwCount: Longint; rgmqResults: PMultiQIArray): HResult; stdcall; 这个函数可以用来创建远程的com+

ServerInfo 用来存储远程的服务器信息，包括访问和激活com+服务的帐户和密码。

我们来分析一下PCoServerInfo;
  PCoServerInfo = ^TCoServerInfo;
  _COSERVERINFO = record
    dwReserved1: Longint;
    pwszName: LPWSTR;
    pAuthInfo: Pointer;
    dwReserved2: Longint;
  end;

    pUnShort=^Word;
    pCoAuthIdentity=^_CoAuthIdentity;
    _CoAuthIdentity=record
        user:pUnShort;
        UserLength:ULONG;
        Domain:pUnShort;
        DomainLength:Ulong;
        password:pUnShort;
        PasswordLength:ulong;
        Flags:ulong;
    end;
    _CoAuthInfo=record
        dwAuthnSvc:DWORD;
        dwAuthzSvc:DWORD;
        pwszServerPrincName:WideString;
        dwAuthnLevel:Dword;
        dwImpersonationLevel:dword;
        pAuthIdentityData:pCoAuthIdentity;
        dwCapabilities:DWORD;
    end;
    TSocInfo=class(Tobject)
    public
        fcid:_CoAuthIdentity;
        fcai:_CoAuthInfo;
        ServerInfo: TCoServerInfo;
    end;

我们在CreateRemoteComObject中调用CoCreateInstanceEx的时候，首先给ServerInfo赋值如下

function CreateRemoteComObjectwh(const MachineName: WideString; const ClassID: TGUID): IUnknown;
const
  LocalFlags =CLSCTX_LOCAL_SERVER or CLSCTX_REMOTE_SERVER or CLSCTX_INPROC_SERVER;
  RemoteFlags = CLSCTX_REMOTE_SERVER;
var
    MQI: TMultiQI;
    ServerInfo: TCoServerInfo;
    IID_IUnknown: TGuid;
    Flags, Size: DWORD;
    LocalMachine: array [0..MAX_COMPUTERNAME_LENGTH] of char;
  ////  add by wanghui 2007-07-24
    Fcai:_CoAuthInfo;
    Fcid:_CoAuthIdentity;
     wUser,wDomain,wPsw:WideString;
    iiu:idispatch;
    fr:HRESULT;
begin
  if (GetObjectContext = nil)  then
  begin
        if @CoCreateInstanceEx =nil then
            raise Exception.CreateRes(@SDCOMNotInstalled);

    wUser:=getAppUserid();//用户名
    wDomain:=getappserver();//远程计算机名
    wPsw:=getAppPassword();//密码

    FillMemory(@Fcai,sizeof(Fcai),0);
    FillMemory(@FCid,sizeof(FCid),0);

    with fcid do begin
        user:=pUnshort(@wUser[1]);
        UserLength:=length(wUser);
        Domain:=pUnshort(@wDomain[1]);
        DomainLength:=length(wDomain);
        password:=pUnshort(@wPsw[1]);
        PasswordLength:=length(wPsw);
        Flags:=2;
    end;

    with fcai do begin
        dwAuthnSvc:=10;//winNt默认的鉴证服务   RPC_C_AUTHN_WINNT
        dwAuthzSvc:=$FFFFFF;//0;            //RPC_C_AUTHZ_NONE
        //pwszServerPrincName:=pwidechar(wDomain);
        dwAuthnLevel:=3;//0;
        dwImpersonationLevel:=3;//必须设置成模拟
        pAuthIdentityData:=@fcid;
        dwCapabilities:=$0;//$0800;
    end;
    FillMemory(@ServerInfo, sizeof(ServerInfo), 0);
    ServerInfo.pwszName := PWideChar(wDomain);
    ServerInfo.dwReserved1:=0;
    ServerInfo.pAuthInfo:=@fcai;

    IID_IUnknown := IUnknown;
    MQI.IID := @IID_IUnknown;
    MQI.itf := nil;
    MQI.hr := 0;

    if Length(MachineName) > 0 then
    begin
        Size := Sizeof(LocalMachine);  // Win95 is hypersensitive to size
        if GetComputerName(LocalMachine, Size) and  (AnsiCompareText(LocalMachine, MachineName) = 0) then
          Flags := LocalFlags
        else
          Flags := RemoteFlags;
    end else Flags := LocalFlags;
    OleCheck(CoCreateInstanceEx(ClassID, nil, CLSCTX_REMOTE_SERVER, @(ServerInfo), 1, @MQI));
    OleCheck(MQI.HR);
    Result := MQI.itf;
  end   else
  begin
        GetObjectContext.CreateInstance(ClassID, IUnknown, Result);
  end;
end;

以上代码 确保获取远程的com+的接口，接口类型为Iunkown

但是要访问其中的方法还需要用下面的函数来设置远程com本地引用的访问权限。

 with fcai do
        CoSetProxyBlanket(iu,dwAuthnSvc,dwAuthzSvc,pwidechar(pAuthIdentityData^.Domain),
            dwAuthnLevel,dwImpersonationLevel,pAuthIdentityData,dwCapabilities);

将这个函数封装后得到一个新函数

function SetProxyBlanket(iu:IUnknown):boolean;
var
    Fcai:_CoAuthInfo;
    Fcid:_CoAuthIdentity;
    wUser,wDomain,wPsw:WideString;
    iiu:idispatch;

    si:Tsocinfo;
begin

   wUser:=getAppUserid();//用户名
    wDomain:=getappserver();//远程计算机名
    wPsw:=getAppPassword();//密码
   if wDomain='127.0.0.1' then exit;
    FillMemory(@Fcai,sizeof(Fcai),0);
    FillMemory(@FCid,sizeof(FCid),0);
    // FillMemory(@FSvInfo,sizeof(FSvInfo),0);
    with fcid do begin
        user:=pUnshort(@wUser[1]);
        UserLength:=length(wUser);
        Domain:=pUnshort(@wDomain[1]);
        DomainLength:=length(wDomain);
        password:=pUnshort(@wPsw[1]);
        PasswordLength:=length(wPsw);
        Flags:=2;      //SEC_WINNT_AUTH_IDENTITY_UNICODE
    end;
    //以上填充_CoAuthIdentity结构
   with fcai do begin
        dwAuthnSvc:=10;//winNt默认的鉴证服务   RPC_C_AUTHN_WINNT
        dwAuthzSvc:=$FFFFFF;//0;            //RPC_C_AUTHZ_NONE
        //pwszServerPrincName:=pwidechar(wDomain);
        dwAuthnLevel:=3;//0;
        dwImpersonationLevel:=3;//必须设置成模拟
        pAuthIdentityData:=@fcid;
        dwCapabilities:=$0;//$0800;
    end;

      with fcai do
        CoSetProxyBlanket(iu,dwAuthnSvc,dwAuthzSvc,pwidechar(pAuthIdentityData^.Domain),
            dwAuthnLevel,dwImpersonationLevel,pAuthIdentityData,dwCapabilities);
end;

最后我们改造delphi自动生成的*_TLB.pas 中的函数CreateRemote 如下

class function Comymenu.CreateRemote(const MachineName: string): Imymenu;
var  iu:IUnknown;
begin
    iu:=CreateRemoteComObjectwh(MachineName, CLASS_mymenu);
    SetProxyBlanket(iu);
    result:=iu as Imymenu;
    SetProxyBlanket(IUnknown(result));
end;

参考了一些资料：MSDN，《windows安全性编程》。

软件环境：

  client  winXP SP2

AP： win2003 sp1

转自：http://www.cntuba.com/developer/Delphi/200701/20070101164256_22899.html

DELPHI程序员开发com+应用的速度是非常快的，其主要原因是其较好地封装了com+的windows底层功能，开发人员通过较为简单的类继承就避开了复杂的com+底层技术细节，使开发人员将精力放在应用本身的功能上面。Delphi在封装com+应用时采取了许多折衷，在保留通用性的同时也避开了一些实现起来困难但是应用面不太广的com+底层特性。这些避开的特性中最令delphi com开发人员关心的就是安全特性。从delphi 5开始，有许多人都面临过这样的问题：com应用开发出来并且在本机上运行一切正常，但是一旦分发出去实施远程访问时，就无法正常运行了。我自己有段时间在看到“拒绝访问”错误提示时会本能的头晕。其实认真追究起来，还是因为自己对windows安全技术了解不多造成的。多年来我一直没有发现国内有windows安全方面比较系统的资料和书籍，直到Keith Brownr的<windows安全性编程>中文版的出现。正是基于这本书我才有了下面的一些试验，也知道了为什么我老是补拒绝的原因。下面的讨论只是我在解决自身现有代码的安全访问问题时，总结出的几个小经难方法。建议愿意了解windows安全性的朋友去看一看<windows安全性编程>一书，你会发现windows的安全不再神秘。 这篇文章将会说明如何以远程工作站上的用户身份激活com+对象，并以此用户身份访问Interface。
1、Delphi默认com+对象的远程激活Delph中远程com+对象激活一般通过TdispatchConnection及其子类来实现，实际代码中多用TDCOMConnection或TsocketConnectoion这两个组件，TDCOMConnection组件最终调用CoCreateInstanceEx创建com+对象。CoCreateInstanceEx (const clsid: TCLSID; unkOuter: IUnknown; dwClsCtx: Longint; ServerInfo:PCoServerInfo;dwCount: Longint; rgmqResults: PMultiQIArray): HResult。 TDCOMConnection在调用CoCreateInstanceEx时为pCoServerInfo参数中的pAuthInfo传递了Null值，因此TdcomConnection在创建Com对象时使用的是本地计算机登录者的用户令牌。假若A计算机上的登录用户Auser使用TDCOMConnection类连接远程计算机B上的com+对象，则B计算机会使用Auser的用户名/密码在B计算机上建立登录会话并最终创建com+对象。但是一台windows工作站上的本地用户只能在本地登录而无法在别的计算机上登录，因此A计算机上的Auser就无法在B工作站上建立登录会话，当然也就无法创建com+对象，此时远程工作站B会尝试用Guest帐户建立会话并使用该账户激活com+对象。在这种情况下，如果B工作站上的Guest账户没有启用或Guest没有激活com+对象的权限，你就会看见令人头晕的提示“拒绝访问”。看到这里你是不对现在网上最“流行”的dcom配置方法有所悟了呢。那个方法就是允许everyone访问、激活com对象、并且将“默认身份验证级别”设置成无。这种方法能够使你的com应用可以“用了”，但是，它可以上“任何人”访问。而且这种设置你将无法利用com+基于角色的安全访问控制功能。
2、怎样不用GUEST账户激活 这个问题的实际上应该是：怎样用远程工作站上的用户激活远程com对象。解决这个问题其实很简单：只要你在调用CoCreateInstanceEx时为它指定远程工作站上的用户名和密码，只要用户名/密码通过远程计算机的验证，并且该用户被授予了“远程激活”com+对象的权限，那么远程工作站会用该用户身份激活com+对象。看一下代码：
var
  mts:IMTSXjpimsDB;
  ov:Variant;
  i:integer;
  cai:_CoAuthInfo;
  cid:_CoAuthIdentity;
  csi:COSERVERINFO;
  mqi:MULTI_QI;
  iid_unk:TGUID;
  idsp:IDispatch;
  wUser,wDomain,wpsw:WideString;
begin
  wUser:=eduser.text;//用户名
  wDomain:=edSvr.Text;//远程计算机名
  wPsw:=edPsw.Text;//密码
  cid.user:=pUnshort(@wUser[1]);
  cid.UserLength:=length(wUser);
  cid.Domain:=pUnshort(@wDomain[1]);
  cid.DomainLength:=length(wDomain);
  cid.password:=pUnshort(@wPsw[1]);
  cid.PasswordLength:=length(wPsw);
  cid.Flags:=2;
  //以上填充_CoAuthIdentity结构
  cai.dwAuthnSvc:=10;//winNt默认的鉴证服务
  cai.dwAuthzSvc:=0;
  cai.pwszServerPrincName:=wDomain;
  cai.dwAuthnLevel:=0;
  cai.dwImpersonationLevel:=3;//必须设置成模拟
  cai.pAuthIdentityData:=@cid;
  cai.dwCapabilities:=$0800;   //以上填充_CoAuthInfo结构
  FillChar(csi, sizeof(csi), 0);
  csi.dwReserved1:=0;
  csi.pwszName:=pwidechar(wdomain);
  csi.pAuthInfo:=@cai;
  //以上填充COSERVERINFO结构
  iid_unk:=IUnknown;
  mqi.IID:=@iid_unk;mqi.Itf:=nil;mqi.hr:=0;
  Screen.Cursor:=crHourGlass; olecheck(CoCreateInstanceEx(CLASS_MTSXjpimsDB,nil,CLSCTX_REMOTE_SERVER,@csi,1,@mqi));
这段代码中除了最后实际调用CoCreateInstanceEx外，前面的代码都是设置参数。这些参数的含义请大家参考msdn，除了用户名、主机名、密码外，只有一个重要要部分要说明：cai.dwImpersonationLevel必须设置成允许模拟(值为3)，否则远程计算机将无法按提供的用户/密码建议网络会话。
3、不修改现有代码，可以实现用远程用户身份激活吗？ 当然可以，我扩展了TDcomConnection类，为其加入了用户名和密码，并修改其默认的DoConnect方法，使其在调用CoCreateInstanceEx时用指定的用户名和密码填充参数。代码如下：

unit SecDComConnection;

interface

uses
  windows,SysUtils, Classes,ActiveX, DB, DBClient, MConnect,comobj,Midas;

type
  {
  typedef struct _SEC_WINNT_AUTH_IDENTITY
  unsigned short __RPC_FAR* User;
  unsigned long UserLength;
  unsigned short __RPC_FAR* Domain;
  unsigned long DomainLength;
  unsigned short __RPC_FAR* Password;
  unsigned long PasswordLength;
  unsigned long Flags;
  SEC_WINNT_AUTH_IDENTITY, *PSEC_WINNT_AUTH_IDENTITY;
  }
  {
  typedef struct _COAUTHIDENTITY

    USHORT * User;

    ULONG UserLength;

    USHORT * Domain;

    ULONG DomainLength;

    USHORT * Password;

    ULONG PasswordLength;

    ULONG Flags;

    COAUTHIDENTITY;
  }

  {
    #define RPC_C_AUTHN_NONE            0
    #define RPC_C_AUTHN_DCE_PRIVATE     1
    #define RPC_C_AUTHN_DCE_PUBLIC      2
    #define RPC_C_AUTHN_DEC_PUBLIC      4
    #define RPC_C_AUTHN_GSS_NEGOTIATE   9
    #define RPC_C_AUTHN_WINNT          10
    #define RPC_C_AUTHN_GSS_SCHANNEL   14
    #define RPC_C_AUTHN_GSS_KERBEROS   16
    #define RPC_C_AUTHN_MSN            17
    #define RPC_C_AUTHN_DPA            18
    #define RPC_C_AUTHN_MQ            100
    #define RPC_C_AUTHN_DEFAULT       0xFFFFFFFFL
  }

  {
    #define RPC_C_AUTHZ_NONE      0
    #define RPC_C_AUTHZ_NAME      1
    #define RPC_C_AUTHZ_DCE       2
    #define RPC_C_AUTHZ_DEFAULT   0xFFFFFFFF
  }

  {
    #define RPC_C_AUTHN_LEVEL_DEFAULT         0
    #define RPC_C_AUTHN_LEVEL_NONE            1
    #define RPC_C_AUTHN_LEVEL_CONNECT         2
    #define RPC_C_AUTHN_LEVEL_CALL            3
    #define RPC_C_AUTHN_LEVEL_PKT             4
    #define RPC_C_AUTHN_LEVEL_PKT_INTEGRITY   5
    #define RPC_C_AUTHN_LEVEL_PKT_PRIVACY     6
  }

  {
    SEC_WINNT_AUTH_IDENTITY_UNICODE=2
  }

  pUnShort=^Word;
  pCoAuthIdentity=^_CoAuthIdentity;
  _CoAuthIdentity=record
    user:pUnShort;
    UserLength:ULONG;
    Domain:pUnShort;
    DomainLength:Ulong;
    password:pUnShort;
    PasswordLength:ulong;
    Flags:ulong;
  end;

  _CoAuthInfo=record
    dwAuthnSvc:DWORD;
    dwAuthzSvc:DWORD;
    pwszServerPrincName:WideString;
    dwAuthnLevel:Dword;
    dwImpersonationLevel:dword;
    pAuthIdentityData:pCoAuthIdentity;
    dwCapabilities:DWORD;
  end;

  TSecDComConnection = class(TDCOMConnection)
  private
    FCai:_CoAuthInfo;
    FCid:_CoAuthIdentity;
    FSvInfo:COSERVERINFO;
    FUser:WideString;
    FPassWord:WideString;
    procedure SetPassword(const Value: wideString);
    procedure SetUser(const Value: wideString);
    procedure SetSvInfo(const Value: COSERVERINFO);
  protected
    procedure DoConnect; override;
  public
    property SvInfo:COSERVERINFO read FSvInfo write SetSvInfo;
    constructor Create(AOwner: TComponent); override;
    procedure MySetBlanket(itf:IUnknown;const vCai:_CoAuthInfo);
    function GetServer: IAppServer; override;
  published
    property User:wideString read FUser write SetUser;
    Property Password:wideString read FPassword write SetPassword;
  end;

  procedure Register;

implementation

constructor TSecDCOMConnection.Create(AOwner: TComponent);
begin
  inherited Create(AOwner);
  FillMemory(@Fcai,sizeof(Fcai),0);
  FillMemory(@FCid,sizeof(FCid),0);
  FillMemory(@FSvInfo,sizeof(FSvInfo),0);
  with FCai do begin
    dwAuthnSvc:=10;//RPC_C_AUTHN_WINNT
    dwAuthzSvc:=0;// RPC_C_AUTHZ_NONE
    dwAuthnLevel:=0;//RPC_C_AUTHN_LEVEL_DEFAULT
    dwImpersonationLevel:=3;
    pAuthIdentityData:=@fcid;
    dwCapabilities:=$0800;
  end;
end;

procedure TSecDCOMConnection.DoConnect;
var
  tmpCmpName :widestring;
  IID_IUnknown:TGUID;
  iiu:IDispatch;
  Mqi:MULTI_QI;
  qr:HRESULT;
begin
  if (ObjectBroker) <> nil then
  begin
    repeat
      if ComputerName = '' then
        ComputerName := ObjectBroker.GetComputerForGUID(GetServerCLSID);
      try
        SetAppServer(CreateRemoteComObject(ComputerName, GetServerCLSID) as IDispatch);
        ObjectBroker.SetConnectStatus(ComputerName, True);
      except
        ObjectBroker.SetConnectStatus(ComputerName, False);
        ComputerName := '';
      end;
    until Connected;
  end
  else if (ComputerName <> '') then begin
    with fcid do begin
      user:=pUnshort(@fuser[1]);
      UserLength:=length(fuser);
      tmpCmpName:=ComputerName;
      Domain:=pUnshort(@tmpCmpName[1]);
      DomainLength:=length(TmpCmpName);
      password:=pUnShort(@FPassword[1]);
      PasswordLength:=length(FPassword);
      Flags:=2;//Unicode
    end;
    FSvInfo.pwszName:=pwidechar(tmpCmpName);
    FSvinfo.pAuthInfo:=@Fcai;
    IID_IUnknown:=IUnknown;
    mqi.IID:=@IID_IUnknown;mqi.Itf:=nil;mqi.hr:=0;
    olecheck(CoCreateInstanceEx(GetServerCLSID,nil,CLSCTX_REMOTE_SERVER,@FSvinfo,1,@mqi));
    olecheck(mqi.hr);
    MySetBlanket(mqi.Itf,Fcai);
    qr:=mqi.Itf.QueryInterface(idispatch,iiu);
    olecheck(qr);
    MySetBlanket(IUnknown(iiu),FCai);
    SetAppServer(iiu);
  end else
    inherited DoConnect;
end;

function TSecDComConnection.GetServer: IAppServer;
var
  QIResult: HResult;
begin
  Connected := True;
  QIResult := IDispatch(AppServer).QueryInterface(IAppServer, Result);
  if QIResult <> S_OK then
  begin
    Result := TDispatchAppServer.Create(IAppServerDisp(IDispatch(AppServer)));
  end;
  MySetBlanket(IUnknown(Result),FCai);
end;

procedure TSecDCOMConnection.MySetBlanket(itf: IUnknown;
  const vCai: _CoAuthInfo);
begin
  with vCai do
    CoSetProxyBlanket(Itf,dwAuthnSvc,dwAuthzSvc,pwidechar(pAuthIdentityData^.Domain),dwAuthnLevel,dwImpersonationLevel,pAuthIdentityData,dwCapabilities);
end;

procedure TSecDCOMConnection.SetPassword(const Value: wideString);
begin
  FPassword := Value;
end;

procedure TSecDCOMConnection.SetSvInfo(const Value: COSERVERINFO);
begin
  FSvInfo := Value;
end;

procedure TSecDCOMConnection.SetUser(const Value: wideString);
begin
  FUser := Value;
end;

procedure Register;
begin
  RegisterComponents('DataSnap', [TSecDComConnection]);
end;

end.

代码中有一些C风格的注释，是因为delphi没有为我们预定义这些变量和数据结构。 如何使用呢？将这个组件安装在IDE中，并将其放到你的现有代码的远程数据模块中去，将原有指向TDOCMConnection的数据集控件设置成这个新的TSecDCOMConnection控件。然后你可以在远程计算机中设置最严格的安全选项。但是要记住应该为你要使用的用户设置合适的权限：给予远程激活权限、给予远程访问权限。
4、到现在还没有谈到访问的问题。首先激活和访问并不是一回事。一个用户可能拥有激活权限但没有访问权限，也有可能只有访问权限却无激活权限。前面谈到CoCreateInstacnceEx可以用另一身份激活对象并取得IunKnown指针的一个本地引用。如果你直接用这个指针去取得IappServer接口并调用方法，那么你很可能又会见到“拒绝访问”信息。这是IUnKnown指针的本地引用存在于客户机的进程中，再没有做特殊设置前，该指针继承了客户机进程的本地令牌，也就是说当用这个指针获取远程IappServer接口时，会用客户机当前登录令牌调用QueryInterface，在调用过程中远程计算机将有此令牌中缓存的用户名和密码进行再次登录验证，当然此时又会被拒绝，而后远程计算机再次尝试用GUEST帐户登录并获取com对象接口，此时若没有找开GUEST访问权限，则客户端访问失败，windows返回“拒绝访问”信息。那么怎样才能使QueryInterface调用也使用远程用户身份呢，这就要调用CoSetProxyBlanket强制设置本地接口引用使用远程用户的令牌。在上面的代码中，我用MySetBlanket包装了该API，以便使用激活时的用户身份调用QueryInterface。而后在取得的IappServer接口上再次调用MySetBlanket，保证在使用该接口时也采用远程用户身份。
 MySetBlanket(mqi.Itf,Fcai);
 qr:=mqi.Itf.QueryInterface(idispatch,iiu);
 olecheck(qr);
 MySetBlanket(IUnknown(iiu),FCai);
为保证直接引用DataProvider的TclientDataSet也能按上述要求工作，在扩展的TSecDCOMConnection控件中，重载了GetServer方法。这样TSecDCOMConnection已能完全替换TDCOMConnection实现便利的com+应用编程了。 由于时间仓促，写这篇时很多术语没有做解释交待，因此可能会有一些不太好理解，但是出于为delphi Fans提供一个简单的实现安全性com访问的方法，我还是将这篇贴上来，主要是可以让需要的朋友直接复制代码用在自己的应用上。使用TSecDCOMConnection后，服务器方的com+对象可以强制找开访问检查，并打开组件级的访问检查。在打开访问检查的情况下，必须将服务器中允许访问com+对象的用户名加入到角色中才能正确访问。 (上述代码在delphi7/winXP sp2中调试通过，对于windows98和windows nt4.0及以下操作系统，由于CoCreateInstanceEx不能直接生成com+对象的安全上下文，因此代码不可用)


昆仑踏月  于乌鲁木齐 2005.6.1

*******事务全攻略******
来自:http://www.itpub.net/printthread.php?threadid=167586
一 事务的属性

事务具有ACID属性
即 Atomic原子性, Consistent一致性, Isolated隔离性, Durable永久性

原子性

就是事务应作为一个工作单元,事务处理完成，所有的工作要么都在数据库中保存下来，要么完全
回滚，全部不保留


一致性
事务完成或者撤销后，都应该处于一致的状态

隔离性

多个事务同时进行，它们之间应该互不干扰.应该防止一个事务处理其他事务也要修改的数据时，
不合理的存取和不完整的读取数据


永久性
事务提交以后，所做的工作就被永久的保存下来


二 事务并发处理会产生的问题

丢失更新

当两个或多个事务选择同一行，然后基于最初选定的值更新该行时，会发生丢失更新问题、
每个事务都不知道其它事务的存在。最后的更新将重写由其它事务所做的更新，这将导致数据丢失。

脏读
当第二个事务选择其它事务正在更新的行时，会发生未确认的相关性问题。
第二个事务正在读取的数据还没有确认并且可能由更新此行的事务所更改。

不可重复读

当第二个事务多次访问同一行而且每次读取不同的数据时，会发生不一致的分析问题。
不一致的分析与未确认的相关性类似，因为其它事务也是正在更改第二个事务正在读取的数据。
然而，在不一致的分析中，第二个事务读取的数据是由已进行了更改的事务提交的。而且，不一致的分析涉及多次（两次或更多）读取同一行，而且每次信息都由其它事务更改；因而该行被非重复读取。

幻像读

当对某行执行插入或删除操作，而该行属于某个事务正在读取的行的范围时，会发生幻像读问题。
事务第一次读的行范围显示出其中一行已不复存在于第二次读或后续读中，因为该行已被其它事务删除。同样，由于其它事务的插入操作，事务的第二次或后续读显示有一行已不存在于原始读中。


三 事务处理类型


自动处理事务

系统默认每个T－SQL命令都是事务处理 由系统自动开始并提交


隐式事务

当有大量的DDL 和DML命令执行时会自动开始，并一直保持到用户明确提交为止，切换隐式事务可以用SET IMPLICIT_TRANSACTIONS
为连接设置隐性事务模式.当设置为 ON 时，SET IMPLICIT_TRANSACTIONS 将连接设置为隐性事务模式。当设置为 OFF 时，则使连接返回到自动提交事务模式


用户定义事务

由用户来控制事务的开始和结束 命令有: begin tran commit tran rollback tran 命令


分布式事务
跨越多个服务器的事务称为分布式事务,sql server 可以由DTc microsoft distributed transaction coordinator
来支持处理分布式事务,可以使用 BEgin distributed transaction 命令启动一个分布式事务处理



四 事务处理的隔离级别

使用SET TRANSACTION ISOLATION LEVEL来控制由连接发出的所有语句的默认事务锁定行为

从低到高依次是


READ UNCOMMITTED

执行脏读或 0 级隔离锁定，这表示不发出共享锁，也不接受排它锁。当设置该选项时，可以对数据执行未提交读或脏读；在事务结束前可以更改数据内的数值，行也可以出现在数据集中或从数据集消失。该选项的作用与在事务内所有语句中的所有表上设置 NOLOCK 相同。这是四个隔离级别中限制最小的级别。

举例

设table1(A,B,C)
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3

新建两个连接
在第一个连接中执行以下语句
select * from table1
begin tran
update table1 set c='c'
select * from table1
waitfor delay '00:00:10' --等待10秒
rollback tran
select * from table1

在第二个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL READ UNCOMMITTED
print '脏读'
select * from table1
if @@rowcount>0
begin
waitfor delay '00:00:10'
print '不重复读'
select * from table1
end

第二个连接的结果

脏读
A B C
a1 b1 c
a2 b2 c
a3 b3 c

'不重复读'
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3



READ COMMITTED

指定在读取数据时控制共享锁以避免脏读，但数据可在事务结束前更改，从而产生不可重复读取或幻像数据。该选项是 SQL Server 的默认值。


在第一个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL READ COMMITTED
begin tran
print '初始'
select * from table1
waitfor delay '00:00:10' --等待10秒
print '不重复读'
select * from table1
rollback tran


在第二个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL READ COMMITTED

update table1 set c='c'


第一个连接的结果

初始
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3

不重复读
A B C
a1 b1 c
a2 b2 c
a3 b3 c



REPEATABLE READ

锁定查询中使用的所有数据以防止其他用户更新数据，但是其他用户可以将新的幻像行插入数据集，且幻像行包括在当前事务的后续读取中。因为并发低于默认隔离级别，所以应只在必要时才使用该选项。


在第一个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL REPEATABLE READ
begin tran
print '初始'
select * from table1
waitfor delay '00:00:10' --等待10秒
print '幻像读'
select * from table1
rollback tran


在第二个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL REPEATABLE READ
insert table1 select 'a4','b4','c4'


第一个连接的结果

初始
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3

幻像读
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3
a4 b4 c4


SERIALIZABLE

在数据集上放置一个范围锁，以防止其他用户在事务完成之前更新数据集或将行插入数据集内。这是四个隔离级别中限制最大的级别。因为并发级别较低，所以应只在必要时才使用该选项。该选项的作用与在事务内所有 SELECT 语句中的所有表上设置 HOLDLOCK 相同。


在第一个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL SERIALIZABLE
begin tran
print '初始'
select * from table1
waitfor delay '00:00:10' --等待10秒
print '没有变化'
select * from table1
rollback tran


在第二个连接中执行以下语句
SET TRANSACTION ISOLATION LEVEL SERIALIZABLE
insert table1 select 'a4','b4','c4'


第一个连接的结果

初始
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3

没有变化
A B C
a1 b1 c1
a2 b2 c2
a3 b3 c3


五 事务处理嵌套的语法和对@@TRANCOUNT的影响

BEGIN TRAN @@TRANCOUNT＋1
COMMIT TRAN @@TRANCOUNT－1
ROLLBACK TR

1、 CVSNT的用户验证方式

pserver方式下。

在CVSNT的文档中给出了两种验证方式，我总结了一下，可以这样称呼：Window和CVSNT混合验证方式，CVSNT独立验证方式。在前面的文章中，我们没有详细的给出这两种方式的内容，所讲述的启示就是混合验证方式。

决定CVSNT工作于何种验证方式是由CVS的管理文件来决定的，这些管理文件处在库的目录下的CVSROOT目录中，这里可以得出结论，对于不同的库，可以给不同的验证方式。所以，在每个库建立的时候要首先设定好这些前提。

下面的操作如果没有特殊指出则都是在客户端来进行管理的，下面首先是对一些控制原理和相关的文件做一些说明，如果你正在进行相关的模拟操作，请停下来暂时停止你的操作，因为这些操作的步骤是有先后的，如果你顺序不对，那么你可能就权限失效，进行不了下面的操作了。
1．1 config文件
在库建立好了以后，你还没有对控制文件进行修改之前，CVSNT是工作在混合验证方式之下的，这个时候，CVS服务器的管理员就是CVSNT的管理员，你以一个管理员身份登陆，检出你要操作的库的CVSROOT模块，看一下文件列表，控制CVSNT的验证工作方式的是config文件，你可以在文件列表中找到它，双击看看其中的内容，这里对我们最重要的就是第一个设置内容，你会看到下面的内容：
# Set this to `no＇ if pserver shouldn＇t check system users/passwords
#SystemAuth=yes
第二行就是我们要修改的内容，默认状态是被注释掉的，SystemAuth有两个值yes和no
yes：pserver将使用系统用户数据库和passwd文件（这个文件后面会详细讲述）来共同验证（若passwd文件不存在或者文件中没有相应的资料，则用系统用户来进行验证）默认为yes
no：所有的用户必须在passwd中存在，根据passwd的内容来进行用户的验证。
我这里所阐述的方案就是工作在no的下面的，修改完之后提交到服务器，提交完毕服务器就处在CVSNT的独立验证模式下了。在这个工作方式下，NT本地的用户和CVSNT用户没有任何本质的联系和影响（仅仅是要建立一个别名）。

1．2 passwd文件
在讲述上面的时候提到了这个文件，在服务器工作在CVSNT验证模式下的时候，这个文件就可以称之为CVSNT的用户数据库，这个里面存储着用户列表，用户的密码，以及别名的一些信息。默认状态下这个文件是不存在的，所以，如果我们要在CVSNT验证模式下工作，必须建立这个文件。注意：这个文件是不能够在客户端进行修改的。这个文件的内容是相当简单的，就像下面：
bach:ULtgRLXo7NRxs
spwang:1sOp854gDF3DY
melissa:tGX1fS8sun6rY:pubcvs
qproj:XR4EZcEs0szik:pubcvs
这里分别拿第一个用户bach和第三个用户melissa来进行说明，每一行代表一个用户，总共有三部分信息，用户名、密码、本地用户三部分之间使用冒号“:”来进行分割。
用户名：就是登陆CVS的用户名
密 码：用户的密码，这里是经过加密的，如果为空，那么就是空密码
本地用户：CVS用户这个别名对应的本地用户，（跟本地用户没有任何其他关系，仅仅是别名的关系）
如果在本地系统中存在一个用户名bash，那么要在CVS建立一个bach这样的用户就不需要在后面指出对应的系统用户，melissa后面的pubcvs就是系统用户，在本地系统上面存在的用户。对于要用命令增加这两种用户的格式如下：
cvs passwd –a bach
cvs passwd –r pubcvs –a melissa
在库建立的时候可以在服务器上建立一个简单的passwd初始化文件，加一行
cvsadmin:
这样，就给出了一个cvsadmin这个空密码用户（本地系统中有这样的用户，就可以不加到后面去），然后在客户端来进行修改和以后的用户增加工作。注意：在客户端进行其他之前请先首先修改这个密码，以防止别人进行破坏。
在服务器端建立了这个文件以后，就不用再手动进行修改了，当你在客户端进行密码或者用户的增加删除的时候，系统会自动进行这个文件的更新。这个文件是管理着CVSNT系统中的所有的用户，所以，要特别重视，不了解这个文件格式的，不要去随便修改，更加不要尝试在客户端进行修改！
1．3 admin文件
这个文件是指定CVSNT的管理员列表的文件，CVSNT会根据这个文件中的内容来判断一个用户是否是管理员。这个文件的内容很简单，是一个用户列表。类似下面
user1
user2
user3
这些代表user1,user2,user3都是管理员，当然，这些用户必须要存在才能够正确登陆系统来执行管理。
这个文件默认状态下是没有的，但是，可以在客户端进行添加，在你的客户端进行新建这个文件然后add上去再commit一下，这个文件就可以上传到服务器，但是这个时候还没有生效，请修改checkoutlist这个文件，加入admin这一行，checkoutlist也可以在客户端进行修改再提交，这个时候admin就可以被系统自动的build了。
Checkoutlist是维护的一个文件列表，可以放入系统自动build的用户自定义的系统文件列表，注意：对passwd没有用！！
1．4 group文件
这个文件是定义系统的组，我们可以将同样性质的用户归入一个组，然后用给用户赋权限的方式给组赋权限，这样，一个组的用户就会具有同样的权限。Group的内容如下：
group1:user1 user2 user3
group2:me you he
group3:tom honey
有上面可以看出来，这个文件的内容也是相当的简单，首先是组的名称然后是冒号，接着是用户名，多个用户名之间用空格来进行分割。
Group文件可以在客户端进行新建和修改，不用修改checkoutlist这个文件，系统会自动build这个文件并且使之生效。
作为组里面的特定成员还可以赋给特定的权限，权限分为两类c,w,r和n，否定权限是有高的优先级的。
好，上面已经介绍了本方案所涉及到的几个重要的文件以及修改方式。这里再强调一下，passwd只能够再服务器端进行建立和修改，不能够在客户端进行操作！
现在根据上面介绍的内容，可以开始你的操作了，下面给出修改顺序，库刚刚建立起来的时候，使用一个服务器上的本地管理员用户进行登陆检出CVSROOT模块。
1、 现在服务器端加上passwd文件，给一个初始的用户，比如cvsadmin:
2、 在客户端增加admin，将cvsadmin加入admin文件，作为出是管理员，并提交加入到库中。
3、 在修改checkoutlist文件，加入admin，使其能够自动build。
4、 最后修改config文件的SystemAuth=no，在提交之前要确认一下你上面的修改是否正确，如果提交了这个文件，CVSNT验证模式就开始生效了！
5、 好，现在请修改你的参数再重新进行的登陆吧。因为你的系统已经切换了工作模式，你当前的用户已经失效了。
完成了上面的步骤，整个服务器就会有效的工作在CVSNT验证模式下了。而group文件在你需要的任何时候可以加入。
在上面的文章关于CVSNT的用户的管理方案的，在这里做一点补充，在后面的操作中全部是针对在客户端使用WinCVS来进行的（出了增加passwd）文件，其实，在我的实践当中config，passwd，admin，checkoutlist，这些文件的起始修改（初始化）都可以在新建了库以后一起完成，然后再让相应的库的管理员来进行相关的操作。
在我上面的文章中也提到这篇文章是基于另外一篇文章的，在网上可以搜索到关于CVSNT和WINCVS的操作的，在CSDN上也有。不过，自己觉得那份东西有点乱，所以后来自己进行了一点点修改。总想在这里贴出来，不过，图太多了，：（

转自:http://blogs.tigtag.com/micas/
 

老板提出一个要求：有一些文件只能被他和会计存取，研究了几天，终于解决了，
也算是个小成果，给大家共享一下。网上的材料不是很全，东一点，西一点，
再加上自己的理解就可以了。
1. 改变CVSNT用户管理方式；
缺省是跟windowns2003系统一样的，这样服务器端就要建立跟CVSNT客户端
的用户和密码一样的用户。比较无聊。
方法是在CVSROOT/config文件里把SystemAuth=yes改成SystemAuth=no，
不过这里有个陷阱，把config checkin以后原来的用户都没用了，
2 所以要在改这个文件之前在CVSROOT下先手工建一个passwd文件来存取用户
信息，所以你如果跟我一样，不小心一开始就做了第一步，麻烦再改回去，
做第2步；
3 用 'cvs passwd -r 'real user' -a 'cvs user' 命令重新建立所有用户，'real user'
是系统用户名，'cvs user'是cvs管理的用户名，可以为不同的cvs user配同一个
real user. 这里也有一个小陷阱：尽量不要改用户名，否则人家已经checkout
出来的东西就要全部再checkout 一次，比较麻烦，如果发现用户名不一样，
没关系，再用cvs passwd建一个用户好了。如此一来，CVS用户跟客户端的
登录用户的密码就可以不一样了。增加安全性。
4. 建立一个目录放敏感的文件sensitive_dir；
5. 把敏感文件加到repository里去；
6. 用acl(Access Control List)命令改sensitive_dir/fileattr.xml内容来改变该目录的
权限控制。
缺省所有用户没有任何权限
cvs chacl -a noread,nowrite,nocontrol,nocreate,notag
把会计的权限加上
cvs chacl -u susan -a read,write,tag,control,create
把老板的权限加上
cvs chacl -u laoban -a read,write,tag,control,create
再说一个陷阱，这些命令是在客户端做的，有时会出现does not support之类的
错误，这个其实是客户端CVSNT和服务器端CVSNT版本不一样导致的。
解决方法很简单：把服务器端的cvs.exe所在的目录的文件全部copy到客户端来，
然后在path里把新的cvs.exe所在目录放在旧版本的目录之前就行了。
7 设置完了以后，用户只要重新在sensitive_dir上一级目录update一下，就可以
把sensitive_dir checkout出来了，而其实用户check out出来则不会出现这个
目录。

blog: http://javabi.yculblog.com