nexus/wiki/sources/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs.md

title, type, tags, sources, last_updated

title	type	tags	sources	last_updated
CTP Topic 17 Active Directory Services in Gruntwork AWS LZs	source	AWS Landing-Zone AD Gruntwork CTP		2026-04-14

Source File

• Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs

Summary（用中文描述）

• 核心主题：在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践
• 问题域：企业级 AWS 多环境（研发/生产）的 AD 域名规划、自动化域加入、以及开发者自助服务
• 方法/机制：
  • 双域名策略：swinford.net（研发实验室 R&D Labs）vs intsas.local（生产/SAS 环境）
  • SRE 团队预制 AMI，内置 PowerShell（Windows）/Shell（Linux）域加入脚本
  • Terraform user_data 触发自动域加入流程
  • MIM（Microsoft Identity Manager）提供研发环境安全组自助管理
  • SMACKS 工单系统处理生产环境账号申请
• 结论/价值：旧域名（infra、AST）已在 Gruntwork LZ 中废弃，提供了清晰的迁移路径和所有权归属建议

Key Claims（用中文描述）

• Gruntwork Landing Zones 按环境类型（研发 vs 生产）分别使用不同的 AD 域名，以满足隔离性和合规审计需求
• Windows 实例通过 Terraform user_data 调用 SRE 预制 AMI 中的 PowerShell 脚本，实现自动化域加入、旧对象清理和本地管理员分配
• Linux 实例通过安全动态更新（Secure Dynamic Updates）机制自动向 Windows DNS 服务器注册 DNS A 记录
• 旧域名 infra 和 AST 在新 Gruntwork LZ 中已被废弃，开发者必须迁移至新域名架构
• R&D 环境支持 MIM 自助服务工具，生产/SAS 环境通过 SMACKS 工单系统申请账号

Key Quotes

"本次视频是 DevOps 云学习系列课程之一，重点介绍了在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践。演讲者 Paul 详细阐述了两种主要环境的域名配置：研发实验室（R&D Labs）统一使用 swinford.net 域名，而生产与分阶段 SAS 环境则采用 intsas.local。" — 视频摘要

"旧有的 infra 和 AST 域名在新的 Gruntwork 落地页中已被废弃，并为用户提供了相应的迁移路径和所有权归属建议。" — 视频摘要

Key Concepts

• Gruntwork Landing Zones：预配置的、基于最佳实践的 AWS 基础架构框架，分为 R&D Labs 和 SAS 两种环境类型
• swinford.net：专门用于研发实验室（R&D Labs）环境的 Active Directory 域名，支持 MIM 自助服务管理
• intsas.local：用于生产和分阶段 SAS 环境的内部 Active Directory 域名，强调资源所有权归属和审计合规
• SRE-provided AMIs：由 SRE 团队预先构建的机器镜像，内置了用于自动加入域的 PowerShell（Windows）和 Shell（Linux）脚本
• User Data：在 AWS EC2 实例启动时执行的脚本数据，本视频中用于触发自动化的域加入流程
• MIM (Microsoft Identity Manager)：用于 R&D 环境中安全组管理和权限申请的自助服务解决方案
• SMACKS Ticket：内部服务管理工单系统，用于申请新账号、重置密码或处理复杂的生产环境变更
• Secure Dynamic Updates：一种 DNS 安全机制，允许 Linux 系统在加入域时向 Windows DNS 服务器安全地注册其 A 记录

Key Entities

• Paul：CTP Topic 17 讲师，Gruntwork AWS LZs AD 集成方案的讲解者
• Gruntwork：提供 Landing Zones 基础设施框架的团队/组织
• SRE Team：负责构建和维护预制 AMI 的 Site Reliability Engineering 团队
• MIM：Microsoft Identity Manager，R&D 环境的安全组自助管理工具
• SMACKS：内部服务管理工单系统，用于生产/SAS 环境的账号申请和变更处理

Connections

• Gruntwork AWS Landing Zones Overview ← foundational ← CTP Topic 17 Active Directory Services
• SRE Standard AMIs and Image Building ← source ← SRE-provided AMIs
• Terraform Single Server Module Deep Dive ← deployment mechanism ← User Data
• ctp-topic-11-ad-integration-and-login-using-ad-accounts ← related ← AD Integration in AWS LZs

Contradictions

• 暂无检测到与其他 Wiki 页面的冲突