在MongoDB中，用户权限管理是一个非常重要的概念。MongoDB使用基于角色的访问控制(Role-Based Access Control， RBAC)来管理用户权限。每个用户都被分配一个或多个角色，每个角色都有特定的权限。通过合理地分配角色，可以灵活地控制用户对数据库资源的访问权限。

1. 创建MongoDB管理员用户账号

创建新用户之前，需要先确保已经有一个拥有足够权限的管理员账户。如果还没有，可以先创建一个管理员账户。登录MongoDB，切换到"admin"数据库，然后使用db.createUser()命令创建管理员账户。例如：

db.createUser({
  user: "admin",
  pwd: "strongpassword",
  roles: [ { role: "root", db: "admin" } ]
})

2. 创建普通用户账号

拥有管理员权限后，就可以开始创建普通用户账号了。同样在"admin"数据库中，使用db.createUser()命令创建新用户。需要指定用户名、密码，以及分配给用户的角色。例如：

db.createUser({
  user: "testuser",
  pwd: "testpassword",
  roles: [
    { role: "readWrite", db: "mydb" },
    { role: "read", db: "anotherdb" }
  ]
})

3. 验证用户账号

创建完用户后，可以使用db.auth()命令验证用户的登录信息是否正确。例如：

db.auth("testuser", "testpassword")

如果返回1，则说明验证成功。

4. 查看用户账号信息

可以使用db.getUser()命令查看指定用户的详细信息，包括用户名、密码、角色等。例如：

db.getUser("testuser")

也可以使用db.system.users.find()命令查看所有用户的信息。

5. 更新用户账号信息

如果需要修改用户的密码或角色，可以使用db.updateUser()命令。例如：

db.updateUser("testuser", {
  pwd: "newpassword",
  roles: [
    { role: "readWrite", db: "mydb" },
    { role: "read", db: "anotherdb" },
    { role: "analyst", db: "reports" }
  ]
})

6. 删除用户账号

如果需要删除某个用户账号，可以使用db.dropUser()命令。例如：

db.dropUser("testuser")

总之，通过合理的用户权限管理，可以有效地控制MongoDB数据库的访问安全。在创建新用户时，务必遵循最小权限原则，根据用户的实际需求分配恰当的角色。同时也要定期检查和更新用户账号信息，以确保数据库的安全性。