A estrutura 1 não está errada, como tal, se funciona para o caso de uso pretendido, mas limita a flexibilidade da árvore LDAP e pode tornar algumas coisas impossíveis no futuro. a coisa que você tenta fazer agora. Portanto, eu consideraria a Estrutura 2 a melhor solução, pois é muito mais flexível.
Se você quiser limitar o acesso ao seu novo sistema, por exemplo para o departamento de TI, você pode contornar isso simplesmente dando ou=IT Department como o recipiente para os objetos de usuário (ou até mesmo como o DN base se sua ferramenta não suportar a configuração do container de usuário) e ignorar os "Grupos permitidos" "parâmetro.