Qué son los archivos ADMX y cómo se usan en políticas de grupo

  • Los archivos ADMX permiten definir y centralizar políticas de grupo en Windows, facilitando la gestión masiva.
  • Su estructura XML y soporte multilingüe hacen que sean flexibles y adaptables tanto en entornos tradicionales como modernos basados en la nube.
  • Se pueden personalizar, extender y administrar de forma eficiente, integrando herramientas como Intune, SCCM y el Editor de directivas de grupo.
Daniel Terrasa

10 minutos

archivos ADMX

Si en alguna ocasión te has preguntado cómo logran las empresas y administradores de sistemas controlar de forma metódica y avanzada la configuración de cientos o miles de equipos con Windows, es muy probable que los archivos ADMX sean parte esencial de esa ecuación.

Aunque para el usuario de a pie puedan pasar inadvertidos, estos archivos son el pilar que permite definir qué puede o no puede hacerse en una red corporativa, desde regular el uso de Internet hasta impedir descargas o restringir dispositivos USB.

¿Qué son exactamente los archivos ADMX?

Cuando hablamos de archivos ADMX, nos referimos a ficheros utilizados por los sistemas Windows para gestionar la configuración centralizada de dispositivos y usuarios a través de lo que se conoce como políticas de grupo o Group Policy Objects (GPOs). Estos archivos son la evolución natural de los antiguos ficheros ADM y emplean el formato XML, lo que los hace legibles, organizados y fácilmente editables por administradores y automatizaciones.

Los archivos ADMX vinieron a sustituir aquel formato ADM obsoleto, mejorando la flexibilidad y la internacionalización. Mientras que los ADM eran archivos de texto en Unicode y tenían que ser gestionados individualmente en cada controlador de dominio, los ADMX permiten un modelo centralizado y multilingüe gracias al soporte de archivos separados para cada idioma (los ADML), lo que facilita enormemente su administración en entornos globales o multinacionales.

En otras palabras, los ficheros ADMX definen reglas, configuraciones y parámetros que los equipos bajo un dominio deben seguir, aprovechando la integración con Active Directory y el editor de directivas de grupo. A través de ellos, un equipo de TI puede desde impedir la instalación de cierto software hasta personalizar el comportamiento de aplicaciones como Visual Studio o Internet Explorer.

admx files

¿Para qué sirven y cómo se utilizan los archivos ADMX?

La función principal de los archivos ADMX es permitir una gestión centralizada y coherente de la configuración de sistemas Windows dentro de una organización. Entre los usos más habituales de los archivos ADMX destacan los siguientes:

  • Restringir el acceso a páginas web o aplicaciones: Por ejemplo, impedir el acceso a redes sociales o webs de descargas.
  • Controlar el uso de dispositivos extraíbles: Como bloquear puertos USB o definir qué tipo de dispositivos se pueden conectar.
  • Gestionar la configuración de aplicaciones empresariales: Establecer parámetros específicos de programas como Visual Studio, Microsoft Office, navegadores, etc.
  • Establecer límites de seguridad: Forzar políticas de contraseñas, bloqueo de pantalla automático, cifrado de discos, etc.

Estos ficheros se administran y aplican habitualmente desde el Editor de directivas de grupo (gpedit.msc) o mediante plataformas en la nube como Microsoft Intune, SCCM o soluciones de terceros, lo que proporciona flexibilidad tanto en entornos tradicionales como modernos basados en la nube.

Formato interno y estructura de un archivo ADMX

Un ADMX no es más que un archivo XML que recoge las diferentes políticas, su estructura jerárquica y sus relaciones con el registro de Windows. Es un formato universal y legible —incluso editable— desde cualquier editor de texto compatible con XML.

La clave principal del archivo ADMX es definir, de una manera estándar, qué políticas están disponibles, a qué ramas del registro afectan y cómo debe visualizarse y gestionarse cada política tanto por el sistema como por el propio administrador. Esto permite que desde una única fuente (el almacén central), todos los controladores de dominio y equipos puedan interpretar la misma información sin realizar conversiones o adaptaciones adicionales.

Aspectos técnicos y características esenciales de los ADMX:

  • Cada archivo agrupa políticas en categorías, permitiendo una navegación jerárquica en el editor de directivas.
  • Incluyen metadatos sobre el sistema operativo o aplicación a la que afectan.
  • Definen claves y valores del registro que se modificarán al aplicar la política.
  • Permiten elementos multilingües a través de ficheros asociados ADML, que contienen las cadenas traducidas para mostrar en el idioma adecuado.
  • Admiten varios tipos de entrada: cadenas (text), múltiple (multiText), listas, booleanos, decimales y enumeraciones.

Ubicación y administración de los archivos ADMX

Gestionar archivos ADMX de forma eficiente requiere conocer dónde deben almacenarse y cómo se distribuyen en una red. Microsoft recomienda emplear el Almacén Central del dominio, que suele estar en la ruta \\nombre_del_dominio\SYSVOL\nombre_del_dominio\Policies\PolicyDefinitions. Cuando se depositan los ficheros ADMX y sus correspondientes ADML (por idioma) aquí, cualquier editor de directivas de grupo del dominio los detecta automáticamente y los hace disponibles para su aplicación y edición.

En entornos más pequeños o en equipos aislados, los ADMX también pueden encontrarse y gestionarse en la carpeta local C:\Windows\PolicyDefinitions. Esto resulta útil para pruebas o cuando únicamente se requieren cambios en máquinas independientes.

Es importante que, al importar o actualizar archivos ADMX, las versiones de todos los controladores de dominio estén alineadas para evitar inconsistencias o errores al aplicar nuevas políticas, especialmente en entornos multinacionales donde es necesario mantener sincronizados los archivos ADML en los diferentes idiomas requeridos.

Relación entre ADMX y ADML: internacionalización y visualización

Uno de los grandes avances que aportaron los ADMX es la separación entre la lógica (archivo ADMX, con la definición de políticas) y las cadenas de texto mostradas en el idioma correspondiente (archivo ADML). Por tanto, cada política definida en el ADMX tiene su correspondiente traducción y descripción en los archivos ADML que se ubican en subcarpetas por idioma dentro de PolicyDefinitions.

Esto no solamente facilita la gestión en organizaciones con usuarios de diferentes nacionalidades, sino que optimiza el despliegue de políticas: la lógica es única y la visualización se adapta automáticamente al idioma del administrador o usuario que accede al editor.

Integración de ADMX en la administración moderna: MDM y la nube

En los últimos años, la administración de dispositivos Windows ha evolucionado rápidamente gracias a las soluciones de MDM (Mobile Device Management) como Microsoft Intune o Endpoint Manager. Aquí, los archivos ADMX han encontrado una nueva vida, ya que son consumidos por los proveedores de servicios de configuración (CSPs) para desplegar políticas incluso en equipos que no están conectados a un dominio clásico, sino que se gestionan desde la nube.

¿Cómo funcionan los ADMX en escenarios MDM? Los equipos reciben las políticas a través de perfiles de configuración o cargas útiles XML (SyncML), que trasladan la lógica contenida en los ficheros ADMX a registros o parámetros internos del sistema. Esto permite que empresas modernas, con equipos distribuidos geográficamente o con modelos BYOD, puedan mantener la misma seguridad y coherencia en la configuración que antes solo se conseguía con dominios y controladores tradicionales.

Además, los ADMX pueden importarse selectivamente a plataformas cloud, lo que permite definir únicamente las políticas relevantes y evitar conflictos o redundancias entre configuraciones heredadas y modernas.

Edición y personalización de archivos ADMX

Uno de los mayores atractivos de los ADMX es que pueden ser editados y personalizados por los propios administradores para adaptarse a las necesidades específicas de cada organización. Al tratarse de ficheros XML legibles, basta con abrirlos en cualquier editor de texto avanzado para agregar, modificar o eliminar políticas y sus parámetros.

Eso sí, hay que tener especial cuidado al personalizar archivos ADMX, ya que cualquier error de sintaxis o conflicto puede provocar fallos al aplicar políticas. Por ello, se recomienda siempre:

  • Realizar una copia de seguridad antes de cualquier cambio.
  • Validar las modificaciones en equipos de prueba antes de desplegarlas a producción.
  • Documentar los cambios realizados para futuras auditorías o actualizaciones.

También es importante mencionar que pueden crearse archivos ADMX personalizados para aplicaciones o necesidades concretas no cubiertas por las plantillas oficiales de Microsoft. Esto resulta especialmente útil en organizaciones que desarrollan software propio o implementan herramientas de terceros que requieren gestión centralizada de parámetros.

Cómo importar y distribuir archivos ADMX

El procedimiento para aprovechar al máximo las plantillas administrativas ADMX varía ligeramente en función del entorno. En un dominio clásico, basta con copiar los archivos ADMX y ADML al almacén central y abrir el Editor de directivas de grupo. En entornos gestionados por la nube (MDM), es necesario importar los archivos a la consola de administración, vincularlos a perfiles de configuración y asegurarse de que los archivos están actualizados y bien referenciados.

Respecto a la importación de plantillas en herramientas como Workspace Environment Management (WEM) de Citrix, se recomienda asegurarse de que los archivos ADML coincidan en idioma y versión con los ADMX subyacentes para evitar errores de visualización o de aplicación. Si existe una plantilla con el mismo nombre que la ya importada, se ofrecen opciones para sobrescribir o mantener ambas versiones, y hay que tener en cuenta el impacto que puede tener la actualización o eliminación de plantillas en las configuraciones ya aplicadas.

Gestión avanzada: edición, clonación y eliminación de GPOs basados en ADMX

Una vez importadas las plantillas ADMX, los sistemas de gestión permiten crear, editar, clonar y eliminar GPOs (objetos de directiva de grupo) fácilmente. Los administradores pueden gestionar múltiples configuraciones a nivel de equipo o usuario, buscar directivas específicas por nombre o categoría, y modificar parámetros como texto, listas, selecciones numéricas o booleanas según lo definido en el ADMX.

Es fundamental tener presente que: la edición o eliminación de GPOs existentes puede afectar a los usuarios y equipos asignados. Por tanto, cada modificación debe ir acompañada de una revisión y validación exhaustiva para evitar impactos no deseados en la operativa diaria.

ivanti

Herramientas para explorar y trabajar con archivos ADMX

Existen varias utilidades y aplicaciones especializadas para gestionar archivos ADMX:

  • Editor de directivas de grupo de Windows (gpedit.msc): Permite gestionar y aplicar todas las políticas definidas en los ADMX disponibles.
  • Soluciones cloud como Microsoft Intune, Citrix WEM o Broadcom IT Management Suite: Permiten importar, editar y distribuir ADMX y sus políticas asociadas en entornos híbridos o totalmente en la nube.
  • Navegador ADMX (GPO) de Ivanti: Facilita la visualización jerárquica, búsqueda y carga de archivos ADMX personalizados, permitiendo ampliar el espectro de políticas gestionables.
  • Editores de texto avanzados: Para la edición manual de ficheros ADMX, siempre que se tenga el conocimiento necesario de la estructura XML.

Gracias a estas herramientas, los administradores pueden visualizar todos los ajustes disponibles, saber a qué ramas del registro afectan y aplicar cambios de forma centralizada o granular.

Tipos de elementos configurables en archivos ADMX

Los ADMX soportan múltiples tipos de elementos configurables, permitiendo captar la diversidad de necesidades de configuración:

  • Text: Cadena de texto simple, se almacena como REG_SZ en el registro.
  • MultiText: Múltiples líneas de texto, almacenadas como REG_MULTI_SZ.
  • List: Lista de pares nombre-valor, representada como subárboles del registro.
  • Boolean: Parámetro binario (verdadero/falso, habilitado/deshabilitado).
  • Enum: Selección de un valor dentro de un conjunto de opciones predefinidas.
  • Decimal: Valor numérico con validaciones de rango.

Cada uno de estos elementos es interpretado por las plataformas de gestión y permite una representación adaptada en el editor de directivas de grupo, ya sea a través de casillas de verificación, campos de texto, selecciones desplegables o cuadros numéricos.

Ventajas del uso de archivos ADMX en empresas y organizaciones

Adoptar el uso de archivos ADMX para la gestión y configuración de equipos en una organización proporciona una serie de beneficios clave:

  • Centralización y coherencia: Permiten establecer y aplicar reglas uniformes en todos los equipos y usuarios, evitando discrepancias y mejorando la seguridad.
  • Escalabilidad: Facilitan la administración masiva sin aumentar la carga de trabajo, permitiendo gestionar cientos o miles de dispositivos de forma eficiente.
  • Flexibilidad: Se adaptan tanto a entornos tradicionales con dominios clásicos como a la gestión moderna basada en la nube y dispositivos personales.
  • Auditoría y cumplimiento: Facilitan el seguimiento y la documentación de los cambios a nivel de sistema, ayudando a cumplir requisitos legales y normativos.
  • Soporte multilingüe: Gracias a los archivos ADML, se puede administrar y visualizar las políticas en distintos idiomas sin necesidad de duplicar esfuerzos.

Los archivos ADMX son fundamentales para garantizar el control, seguridad y flexibilidad de los entornos Windows modernos, tanto en grandes empresas como en organizaciones medianas y centros educativos. Facilitan la administración centralizada, ahorran tiempo y evitan quebraderos de cabeza al permitir gestionar la configuración de miles de dispositivos y usuarios desde una consola sencilla e intuitiva, adaptándose además a los nuevos paradigmas de gestión cloud y BYOD. La clave está en conocer sus posibilidades, aplicarlas con cabeza y mantener actualizado todo el ecosistema de plantillas administrativas.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.