Samba as PDC - вопрос про профили и права

> 1) как заставить её не сохранять профиль для конкретного юзера?

Через NT групповые политики ntconfig.pol, см. opennet.ru (http://www.opennet.ru/tips/info/897.shtml) и документацию самбы.

> 2) как можно поставить ограничения на конкретного юзера - например
> запретить смену пароля? 

там же.

> 3) мой samba-account мне нужен как бы и для общей работы в домене, и
> для администраторских функций (напр. добавления вендовых машин в этот
> домен). Соответственно, в smb.conf написано admin users = pasha. 

совершенно не верное решение. Читать доку самбы: Chapter 12. Remote and Local Management: The Net Command.

Поднимать привелегии командой к примеру: net rpc rights grant

Список привелегий:
SeMachineAccountPrivilege  Add machines to domain
SePrintOperatorPrivilege  Manage printers
SeAddUsersPrivilege  Add users and groups to the domain
SeRemoteShutdownPrivilege  Force shutdown from a remote system
SeDiskOperatorPrivilege  Manage disk shares
SeBackupPrivilege  Back up files and directories
SeRestorePrivilege  Restore files and directories
SeTakeOwnershipPrivilege  Take ownership of files or other objects

В частнойсти завести себя как юзера, добавить в группу Domain Admins, и дать привелегию SeMachineAccountPrivilege.