在启动 Linux 之前通过网络执行脚本

我希望我的 Linux 系统使用加密的硬盘，并且可以使用 Active Directory 中的某种密钥进行解密。

我希望系统在启动 Linux 之前提示输入用户名和密码。如果这些是真实的，则硬盘驱动器被解密，Linux 可以启动。

我认为可以加密除 /boot 之外的所有内容，并让 Grub 执行我编写的脚本，然后该脚本将针对 AD 进行身份验证。Grub 有这种功能吗？在引导到正确的系统之前，包含一个小型 Linux 内核来执行此角色是否更好，或者类似的东西？