$ dsconfigldap -h
-S       add to authentication and contact search policy
$ man dsconfigldap
-S       Will skip updating the search policies.

Как показывает практика, в данном случае прав man. То есть, от опции -S при стандартном использовании dsconfigldap стоит отказаться:
dsconfigldap -v -a "od1.office.pretendco.org" -n "od1.office.pretendco.org" -l ladmin -q password