--- title: "CTP Topic 17 Active Directory Services in Gruntwork AWS LZs" type: source tags: [AWS, Landing-Zone, AD, Gruntwork, CTP] sources: [] last_updated: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]] ## Summary(用中文描述) - 核心主题:在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践 - 问题域:企业级 AWS 多环境(研发/生产)的 AD 域名规划、自动化域加入、以及开发者自助服务 - 方法/机制: - 双域名策略:`swinford.net`(研发实验室 R&D Labs)vs `intsas.local`(生产/SAS 环境) - SRE 团队预制 AMI,内置 PowerShell(Windows)/Shell(Linux)域加入脚本 - Terraform `user_data` 触发自动域加入流程 - MIM(Microsoft Identity Manager)提供研发环境安全组自助管理 - SMACKS 工单系统处理生产环境账号申请 - 结论/价值:旧域名(`infra`、`AST`)已在 Gruntwork LZ 中废弃,提供了清晰的迁移路径和所有权归属建议 ## Key Claims(用中文描述) - Gruntwork Landing Zones 按环境类型(研发 vs 生产)分别使用不同的 AD 域名,以满足隔离性和合规审计需求 - Windows 实例通过 Terraform `user_data` 调用 SRE 预制 AMI 中的 PowerShell 脚本,实现自动化域加入、旧对象清理和本地管理员分配 - Linux 实例通过安全动态更新(Secure Dynamic Updates)机制自动向 Windows DNS 服务器注册 DNS A 记录 - 旧域名 `infra` 和 `AST` 在新 Gruntwork LZ 中已被废弃,开发者必须迁移至新域名架构 - R&D 环境支持 MIM 自助服务工具,生产/SAS 环境通过 SMACKS 工单系统申请账号 ## Key Quotes > "本次视频是 DevOps 云学习系列课程之一,重点介绍了在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践。演讲者 Paul 详细阐述了两种主要环境的域名配置:研发实验室(R&D Labs)统一使用 `swinford.net` 域名,而生产与分阶段 SAS 环境则采用 `intsas.local`。" — 视频摘要 > "旧有的 `infra` 和 `AST` 域名在新的 Gruntwork 落地页中已被废弃,并为用户提供了相应的迁移路径和所有权归属建议。" — 视频摘要 ## Key Concepts - [[Gruntwork Landing Zones]]:预配置的、基于最佳实践的 AWS 基础架构框架,分为 R&D Labs 和 SAS 两种环境类型 - [[swinford.net]]:专门用于研发实验室(R&D Labs)环境的 Active Directory 域名,支持 MIM 自助服务管理 - [[intsas.local]]:用于生产和分阶段 SAS 环境的内部 Active Directory 域名,强调资源所有权归属和审计合规 - [[SRE-provided AMIs]]:由 SRE 团队预先构建的机器镜像,内置了用于自动加入域的 PowerShell(Windows)和 Shell(Linux)脚本 - [[User Data]]:在 AWS EC2 实例启动时执行的脚本数据,本视频中用于触发自动化的域加入流程 - [[MIM (Microsoft Identity Manager)]]:用于 R&D 环境中安全组管理和权限申请的自助服务解决方案 - [[SMACKS Ticket]]:内部服务管理工单系统,用于申请新账号、重置密码或处理复杂的生产环境变更 - [[Secure Dynamic Updates]]:一种 DNS 安全机制,允许 Linux 系统在加入域时向 Windows DNS 服务器安全地注册其 A 记录 ## Key Entities - [[Paul]]:CTP Topic 17 讲师,Gruntwork AWS LZs AD 集成方案的讲解者 - [[Gruntwork]]:提供 Landing Zones 基础设施框架的团队/组织 - [[SRE Team]]:负责构建和维护预制 AMI 的 Site Reliability Engineering 团队 - [[MIM]]:Microsoft Identity Manager,R&D 环境的安全组自助管理工具 - [[SMACKS]]:内部服务管理工单系统,用于生产/SAS 环境的账号申请和变更处理 ## Connections - [[Gruntwork AWS Landing Zones Overview]] ← foundational ← [[CTP Topic 17 Active Directory Services]] - [[SRE Standard AMIs and Image Building]] ← source ← [[SRE-provided AMIs]] - [[Terraform Single Server Module Deep Dive]] ← deployment mechanism ← [[User Data]] - [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]] ← related ← [[AD Integration in AWS LZs]] ## Contradictions - 暂无检测到与其他 Wiki 页面的冲突